零信任对接致远OA实现零信任远程发布OA客户端，实现安全接入办公(发布致远OA踩坑点)

每天学习一点点，每天进步一点点。

感谢楼主的精彩分享，有助工作!!!

不错，有助于工作！！！

你好，致远的内置VPN需要授权，收费吧？

客户需求：

客户侧有致远OA移动办公终端，原来访问方式为：在OA客户端配置OA客户端对应服务端对外映射的对应IP+端口，这种情况下存在OA服务端对外映射的IP＋端口直接暴露在公网，OA端到服务端数据传输没有进行加墨，无法实现安全接入：

方案：

针对客户需求，现实施方案为致远OA端通过SDK包集成深信服零信任安全接入功能（可以简单理解为致远OA客户端将atrust小型客户端集成到致远OA客户端中），实现OA端到服务端的安全接入及数据传输加密

零信任实际配置如下：（与以往资源发布类似）

1、由于客户侧没有统一身份认证平台，故登录零信任使用零信任自带的本地认证系统：

2、添加OA服务端资源：

3、将应用授权给对应角色、用户：

4、零信任隧道地址配置（隧道地址用于代理网关与客户端建立隧道及访问对应业务系统地址）

5、致远OA侧：

6、打开移动政务APP：

点击右上角设置服务器，进入页面后点击VPN：

7、跳转到VPN设置：（填写对应的服务器地址：零信任对外网映射的客户端接入地址+端口）

8、账号密码填写零信任本地创建的账号密码：

9、SPA功能及UEM沙箱功能询问总部如下：（本次客户只买了安全接入授权，所以SPA及UEM无需关注）

10、VPN设置完成后，点击提交，显示VPN已设置：

11、此时设置服务器地址界面（该界面需要填写OA客户端对应服务端的地址+端口）如下图所示：

此时会先显示VPN正在登录：

稍后会跳转到数据正在加载界面：

12、在零信任审计中心---日志中心---日志查看全部为成功状态：

13、踩坑点：

前期设置全部完成后，填写完服务端对应IP+端口后，登录报错显示“不符合密码策略”

14、在零信任审计中心---日志中心---日志查看，查看对应登录状态及报错：

15、报错日式，同一时间使用本地账号密码登录显示成功，说明登录过程并无问题（账号名密码输入无误），查看报错日志，提示账号首次登录失败，于是怀疑由于OA客户端使用SDK包集成了零信任登录，所以以往经验，首次登录系统默认会让客户端修改密码，将首次登录修改密码取消掉之后登录正常：

原因：零信任登录时集成在致远OA内的，如果勾选首次登录就会造成修改密码框无法在OA客户端弹出继而提示账号首次登录修改密码无法完成操作，导致登录失败

16、踩坑2：

登录成功后APP提示“为购买VPN插件请联系管理员”

原因如下：

客户侧未购买VPN插件，属于致远自己的限制，非深信服限制，客户需要掏钱购买后方可正式接入