|
客户需求: 客户侧有致远OA移动办公终端,原来访问方式为:在OA客户端配置OA客户端对应服务端对外映射的对应IP+端口,这种情况下存在OA服务端对外映射的IP+端口直接暴露在公网,OA端到服务端数据传输没有进行加墨,无法实现安全接入: 方案: 针对客户需求,现实施方案为致远OA端通过SDK包集成深信服零信任安全接入功能(可以简单理解为致远OA客户端将atrust小型客户端集成到致远OA客户端中),实现OA端到服务端的安全接入及数据传输加密 零信任实际配置如下:(与以往资源发布类似) 1、由于客户侧没有统一身份认证平台,故登录零信任使用零信任自带的本地认证系统: 2、添加OA服务端资源: 3、将应用授权给对应角色、用户: 4、零信任隧道地址配置(隧道地址用于代理网关与客户端建立隧道及访问对应业务系统地址) 5、致远OA侧: 6、打开移动政务APP: 点击右上角设置服务器,进入页面后点击VPN: 7、跳转到VPN设置:(填写对应的服务器地址:零信任对外网映射的客户端接入地址+端口) 8、账号密码填写零信任本地创建的账号密码: 9、SPA功能及UEM沙箱功能询问总部如下:(本次客户只买了安全接入授权,所以SPA及UEM无需关注) 10、VPN设置完成后,点击提交,显示VPN已设置: 11、此时设置服务器地址界面(该界面需要填写OA客户端对应服务端的地址+端口)如下图所示: 此时会先显示VPN正在登录: 稍后会跳转到数据正在加载界面: 12、在零信任审计中心---日志中心---日志查看全部为成功状态: 13、踩坑点: 前期设置全部完成后,填写完服务端对应IP+端口后,登录报错显示“不符合密码策略” 14、在零信任审计中心---日志中心---日志查看,查看对应登录状态及报错: 15、报错日式,同一时间使用本地账号密码登录显示成功,说明登录过程并无问题(账号名密码输入无误),查看报错日志,提示账号首次登录失败,于是怀疑由于OA客户端使用SDK包集成了零信任登录,所以以往经验,首次登录系统默认会让客户端修改密码,将首次登录修改密码取消掉之后登录正常: 原因:零信任登录时集成在致远OA内的,如果勾选首次登录就会造成修改密码框无法在OA客户端弹出继而提示账号首次登录修改密码无法完成操作,导致登录失败 16、踩坑2: 登录成功后APP提示“为购买VPN插件请联系管理员” 原因如下: 客户侧未购买VPN插件,属于致远自己的限制,非深信服限制,客户需要掏钱购买后方可正式接入 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-10-7 22:59
工程师1级 