新手890392 发表于 2023-7-12 16:44
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
安全接入 发表于 2023-9-14 16:00
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
飞翔的苹果 发表于 2023-11-8 08:06
  
打卡学习,感谢大佬分享!
小蜻蜓 发表于 2024-7-19 15:47
  
/ebus/yzyapi
এ塔铃独语别黄昏এ 发表于 2024-7-20 06:23
  
每日一积累慢慢变专家
এ塔铃独语别黄昏এ 发表于 2024-7-25 19:30
  
提前祝假期玩得开心!
飞翔的苹果 发表于 2024-8-9 07:57
  
感谢楼主分享,每日学习打卡
#原创分享#atrust2.1.17版本,对接广东-粤政易案例分享【全配置】
  

魏少明明明明 133058人觉得有帮助

{{ttag.title}}
本帖最后由 魏少明明明明 于 2024-4-10 18:06 编辑

对接了两年,太艰难了,分享全配置干货,由于涉及政府客户敏感数据,已脱敏。
再次谢谢各位配合调试的研发大佬和专家,看完麻烦点个赞,广东第一例。

背景
      原来粤政易的登陆方式,通过公网登陆,可以被监听,无法做日志追溯。
现通过粤政易集成atrust的SDK方式登陆做加强认证,做安全策略,日志追溯。


前置准备条件

1、需要https的域名,提供https证书做解密,
2、域名,绑定出接口地址,并能正常解析
3、以上两步基础网络环境搭建完毕,需要找数广申请测试环境的应用,应用使用oau2.0的协议在粤政易上线.
4、在4的基础上,在申请两个应用在生产环境,一个共享vpn应用,一个你们办公应用,并提供共享vpn的应用参数passid、Token、Agentid、Secret、CorpID
5、修改重定向地址,后面通过粤基座应用修改

粤政易SDK的数据流走向

数据流程
1、点击应用图标时,这个过程会拉起atrust的sdk封装的miniconect的隧道,直接返回到atrust的登录地址做认证
2、atust拿着认证过程客户端返回的信息找省统一身份认证的服务器拿到对应的用户信息
3、完成认证后,通过atrsut授权应用,返回到redirect地址(也就是业务地址)完成整个过程的无感知

2.1.17 综合网关,详细版本信息-对接粤政易测试环境

aTrust2.1.17
SDP-ONE2.1.17.152 B Build20220222
SP_aTrust_CL-CM_02_build20220406222430_20220413011444
SP_aTrust_improve-CGM_01_build20220408162353_20220413011608
SP_aTrust_improve_02_build20220510185226_20220510200219_CGM
SP_aTrust_NewPlatform-CGM_01_build20220429104518_20220511023047
Custom-built (1 20230506105750)-i-ZHSJWQ(20230508192643)-w17437-aTrust-2021122803

2.2.16 分离式部署,详细版本信息如下-对接粤政易正式环境
控制中心版本信息
aTrust2.2.16
SDPC2.2.16.553 Build20230518
SP_aTrust_RD_03_build20230603140054_20230821144414_CGM
SP_aTrust_JG_01_build20230603094215_20230821144440_CGM
SP_aTrust_TK_02_build20230616101844_20230821144508_CGM
SP_aTrust_SA2216_01_build20230531164744_20230821144758_CGM
SP_aTrust_IMPROVE_01_20230616210702_20230821144919_CGM
SP_aTrust_2216CL_03_build20230808184040_20230821151936_CM
SP_aTrust_S1035M_01_build20230811105548_20230821153238_CGM
SP_aTrust_Admin_01_build20230829211825_20230830132549_CGM
SP_aTrust_ETCD_01_build20230712105004_20231009114242_CM
SP_aTrust_StableImprove_01_build20230810190700_20231009120304_CGM
Custom-built (1 20230608163102)-i-zhuhaishizhengwufuwushujuguanliju-CM(20231009140622)-xyg27777-aTrust-2023051701
KylinUOSUbuntuClient2.2.16.10_Build20230518

==========================================

代理网关版本信息
aTrust2.2.16
PROXY2.2.16.553 Build20230518
SP_aTrust_RD_03_build20230603140054_20230821144414_CGM
SP_aTrust_JG_01_build20230603094215_20230821144440_CGM
SP_aTrust_TK_02_build20230616101844_20230821144508_CGM
SP_aTrust_SA2216_01_build20230531164744_20230821144758_CGM
SP_aTrust_IMPROVE_01_20230616210702_20230821144919_CGM
SP_aTrust_2216CL_03_build20230808184040_20230821151936_CM
SP_aTrust_S1035M_01_build20230811105548_20230821153238_CGM
SP_aTrust_StableImprove_01_build20230810190700_20230830131710_CGM
SP_aTrust_Admin_01_build20230829211825_20230830132549_CGM
SP_aTrust_RW_02_build20230419103231_20231013020908_CM
SP_aTrust_ETCD_01_build20230712105004_20231013020941_CM

==========================================


提前获取客户应用五元素
passid、Token、Agentid、Secret、CorpID 目的是通过粤政易前的鉴权网关,如下:


设备清单
以下是综合网关的测试方案
拓扑结构:atrust综合网关旁挂在核心交换机,
综后续客户对用户数有要求,可以换成分离式部署,最佳实践也是分离式部署

设备配置

1、授权管理:可查看设备ID和设备授权的功能模块

2、接口信息:配置设备接口,查看接口IP,部署模式



3、配置默认路由,保证管理口对其他网段的IP网络可达


4、配置外网接入地址https://域名:端口


5、配置IP+隧道端口441

6、更新域名证书,这里只支持导入pfx p12格式,这里还需要单独提供额外解密的密码



7 开启集群特性 -企业微信


8 新建粤政易用户目录




9  新建认证服务器-企业微信
由于目前定制包还没有合入大版本,打完定制包以后,增加了passid和token参数,目前这里可以把/ebus/yzyapi取消,测试与粤政易连通性



关联用户目录-粤政易

10 .新建应用并授权应用


找到企业微信目录,关联应用

粤政易登陆-业务验证
这里app集成了很多应用,已脱敏

第一步,点击应用
第二步 拉起miniconnect隧道,去省平台获取身份信息,做认证
第三步  鉴权成功以后,登陆业务

第四步  进入应用工作台

在拉起完隧道以后,登陆atrsut,可以看到atrsut,有用户在线

FAQ记录

问题1:上线到测试环境前,应用侧需要邮件申请,找省数广申请应用ID参数passid、Token、Agentid、Secret、CorpID,同时提供重定向url的,如下,这里格式记得,要有atrust域名地址+后面redirecturl=【这里由应用提供】



问题2:对接粤政易过程如果出现,“服务器证书不可信,请重新加载”这里需要导入域名证书到atrust上。


问题3:上线到正式环境以后(这里是否测试环境取决于粤政易的服务器设置),由应用厂家那边提供申请,到省数广,申请应用切换,此时应用的passid、Token、Agentid、Secret、CorpID会变成新的参数,粤政易地址也会变,需要重新填写到atrust。

问题4:当atrust显示用户上线以后,这里只atrust已经拉起隧道,并通过省身份的认证,如果移动端访问不到,就需要应用侧看看日志是什么,由应用排查,如图所示




问题5:


【各地市单位需要共享一套atrust,实现应用-对接粤政易场景联调】
【背景】
1、由于应用的passid和token是独立的,有各单位权限管控,部分自建vpn,不便共享给其他单位。需要跟市政数局沟通,会单独申请一个应用“xxx地市vpn”作为vpn共享使用,调用里面的五元素,如passid和token,去拉起隧道。

【后续方案】
1、各局申请自建vpn的时候,需要额外找省数广申请“xxx地市vpn”权限
2、后续各单位要访问自建vpn,只需要改对应下方的redirecturl=

使用测试账号登陆测试环境的粤政易,点击自己地市申请的vpn显示为这个


各单位应用上线的流程:

第一步:先让应用侧在【粤政易】正式环境,上线应用,使用oau2.0的协议上线,这块由应用与数广对接。
第二步:确认应用能在粤政易正常登录以后,需要应用提供测试环境的IP和端口,确保atrust(vpn)和各应用系统网络可达
第三步:应用侧需要发邮件给省数广修改重定向链接或以下步骤
    ---1.业务应用管理员,政务外网环境登录:https://xtbgsafe.gdzwfw.gov.cn/appmanagesafe/safe/appmgr/#/index
    ---2.左侧菜单栏找到业务应用管理-本单位建设业务应用,若无栏目权限,则用户不是业务应用管理员;
    ---3.找到所需配置的应用
    ---4.右侧点击设置-打开业务应用详情界面,展开应用详情查看或右上角编辑按钮修改,修改时域名变更注意增加可信域名。
第四步:新应用可以,使用共享vpn的隧道参数如token+passid来拉起隧道,访问来访问各单位自建应用


修改粤政易--工作台重定向的链接内容如下:
单点地址:https://域名:18443/portal/qywx.html?redirecturl=http%3A%2F%2F应用地址%3A9900%2Fcmcuapi%2Fsso%2Foauth2

需要应用侧把redirecturl=改成转码以后的格式给数广修改,或上方第三步,应用管理员修改。

总结
本次测试安装atrust2.1.17版本,测试登陆粤政易成功。





打赏鼓励作者,期待更多好文!

打赏
19人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人