SASE以身份驱动下发安全策略,如果企业已使用LDAP身份源管理组织架构,可以通过SASE对接企业的LDAP身份源,无需您再次为企业员工创建身份信息。对接企业LDAP身份源后,企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接LDAP身份源。
使用限制
身份源功能仅支持在同一时段开启一个身份源(一个单身份源或者一个多身份源)。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。
配置并开启Windows AD/OpenLDAP身份源
登录办公安全平台控制台。在左侧导航栏,选择 。
在身份源管理页签,单击添加身份源,在单身份源的企业身份源下拉列表中选择LDAP页签,设置LDAP身份源的配置。然后单击下一步。
配置项
说明
身份源配置状态
根据需要启用或者禁用身份源。取值:
已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。
已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。
重要关闭身份源配置状态开关,会导致终端用户使用SASE客户端无法访问内网应用。请谨慎操作。
类型选择
支持的目录类型。取值:
Windows AD:Windows的目录服务。
OpenLDAP:轻型目录访问协议。
配置名称
AD或者LDAP的名称信息,用户自定义。
长度为2~100个字符,包括中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。
服务器地址
AD或者LDAP服务器地址。
服务器端口号
AD或者LDAP服务器的端口号。
使用连接器访问认证服务器
当LDAP认证服务部署内网环境时,可通过连接器实现认证服务打通。您需要选择已成功连接的连接器实例,如何配置连接器打通网络请参见使用SASE连接器。
使用SSL连接方式
AD或者LDAP服务器是否开启SSL连接。取值:
是:开启SSL连接后,您在AD或者LDAP服务器上的数据会进行加密传输,保证您的数据安全。
否:表示不开启SSL连接。
Base DN
要认证用户的Base DN。当您设置该值后,SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE客户端。该字段的长度为2~100个字符。
说明如果要认证用户与组不在LDAP的同一节点下,您需要设置高级配置中的用户Base DN和组Base DN。
部门结构同步
输入管理员DN和管理员密码,用于从身份源中获取企业目录结构列表。
说明配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时,系统不会读取您的员工信息。
设置属性配置,然后单击下一步。
设置属性字段及过滤器,以便您后续管控不同分组下企业用户的访问权限。
配置项
说明
登录用户名属性
设置登录用户名属性字段,用于统一同一企业用户登录时用户名的形式,您需要在企业内部定义该字段。
您可以选择LDAP默认的表示用户名属性的字段(包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName),也可以输入LDAP定义的其他字段,用来表示登录用户名属性。
说明userPrincipalName是有域后缀,当您选择userPrincipalName作为登录用户名属性时,登录时一定要填写对应的域后缀。例如:user***@aliyundoc.com。
展示用户名属性
设置展示用户名属性字段,用于统一同一企业用户在终端设备上展示的用户名形式,您需要在企业内部定义该字段。展示用户名即账户名称。
您可以选择LDAP默认的表示用户名属性的字段(包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName),也可以输入LDAP定义的其他字段,用来表示展示用户名属性。
组名称属性
设置组名称属性字段,用于统一同一企业中组名称的形式,您需要在企业内部统一定义该字段。
您可以选择LDAP默认的表示用户名属性的字段(包含cn、name、sAMAccountName),也可以输入LDAP定义的其他字段,用来表示组名称属性。
组映射属性
设置组映射属性字段,用于定义企业用户所归属的组关系。默认值:memberOf。
说明该字段非必选,如需填写,需与您在LDAP中设置的组映射属性一致。
组过滤器
添加组过滤表达式,用于过滤不同分组的企业用户,以便您后续管控不同分组下企业用户的访问权限。
LDAP常见的过滤器表示方式举例:
(&(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit和objectClass等于organization,即两个属性都满足的所有组。
(|(objectClass=organizationalUnit)(objectClass=organization)):表示搜索objectClass等于organizationalUnit或object等于organization,即两个属性满足其中一个的组。
(!(objectClass=organizationalUnit)):表示搜索objectClass不等于organizationalUnit的组。
关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters。
用户过滤器
您可以添加过滤表达式,用于过滤某一个或者某一类用户。
LDAP常见的过滤器表示方式举例:
(&(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person和objectClass等于user,即两个属性都满足的所有企业用户。
(|(objectClass=person)(objectClass=user)) :表示搜索objectClass等于person或objectClass等于user,即两个属性满足其中一个的所有企业用户。
(!(objectClass=person)):表示搜索objectClass不等于person的所有企业用户。
关于LDAP的具体匹配规则,请参见LDAP官方文档LDAP Filters。
邮箱属性
设置表示邮箱的字段。
重要LDAP中默认的标识邮箱的字段为email,填写时需要与您在LDAP中设置的邮箱属性字段一致。
手机号属性
设置标识手机号的字段。
重要LDAP中默认的标识手机号的字段为telephoneNumber,填写时需要与您在LDAP中设置的手机号属性字段一致。
设置双因素认证,然后单击登录测试。
配置项
说明
电脑设备登录方式
支持账号密码登录和无密码登录。
使用账号密码登录方式时,您可以开启双因素认证,取值:
OTP认证:开启OTP验证后,您还要选择OTP令牌模式,目前支持如下三种模式:
允许SASE移动端展示令牌:即SASE自带OTP,需要员工安装SASE移动端客户端。
允许第三方App令牌:需确保OTP客户端时钟同步正常,目前支持标准及常见的OTP认证软件,例如阿里云App等。
允许企业自有令牌:若需兼容企业自研OTP,请在技术人员支持下进行配置。
验证码认证:开启短信验证码验证,需确保配置的身份源中每个用户都已录入手机号。
使用无密码登录方式时,需要先下载并登录SASE移动端App,然后进行扫码认证。
移动设备登录方式
支持账号密码登录和指纹或人脸识别认证。
使用账号密码登录方式时,您可以开启双因素认证,取值:
OTP认证:开启OTP验证码验证前,需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌,移动端令牌配置与电脑设备配置一致。
验证码认证:开启验证码验证,需确保配置的身份源中每个用户都已录入手机号或邮箱。
使用指纹或人脸识别认证方式时,首次登录SASE客户端时仍需要输入账号名与密码。
说明如果您配置的数据有误,SASE会提示您对应的问题。当测试连接后,提示连接LDAP服务器失败,请联系管理员,您需要排查服务器地址、端口号是否填写正确,以及服务器网络是否正常。
测试成功后,单击确认。
关闭LDAP身份源
在身份源管理页面,定位到已添加的LDAP身份源,在状态列关闭身份源的状态开关。
查看LDAP身份源
在身份源管理页面,定位到已添加的LDAP身份源,单击操作列详情即可查看配置的LDAP信息。
删除LDAP身份源
在身份源管理页面,定位到已添加的LDAP身份源,单击操作列删除即可删除该LDAP信息。
编辑LDAP身份源
在身份源管理页面,定位到已添加的LDAP身份源,单击操作列编辑即可修改该LDAP信息。
相关文档
配置SASE身份源
如果企业未使用任何身份源,可以使用SASE提供的自定义身份源上建立组织架构。具体信息,请参见配置SASE身份源。
对接第三方身份源
如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。
配置多身份源
如果企业需要使用多种身份源来管理企业组织架构,可以通过SASE配置多个身份源信息。具体信息,请参见配置多种身份源。
配置用户组
如果您需要在企业组织架构以外创建用户组,请参见配置用户组。