第1章 产品简介 深信服统一身份安全管理系统(简称:IDTrust),强调以人为中心应用访问控制,提供统一身份管理、统一身份认证、统一门户/单点登录(SSO)、集中应用授权、审计与分析等功能,让认证更简易、身份更安全、应用访问更可控;并实现身份全生命周期管理,降低管理员账号开户、变更、销户等带来的运维复杂度,让管理更高效。 IDTrust通过HR等数据源进行统一身份认证和权限管理,同时支持开放数据给其它应用和网络设备,并对所有行为进行安全审计,其架构图如下:
第2章 项目前期准备2.1 收集客户应用系统信息,并让客户填写好相应的《应用信息收集表》 第3章 测试过程3.1 测试环境 (1) IDTrust一台 (软件或硬件平台),旁路部署模式,确保网络可达 (2) 测试PC一台 (3) 支持Oauth协议或密码代填等其他协议的应用系统一个(需要与IDTrust网络可达) 测试拓扑如下: 3.2 安装部署3.2.1 登录控制台 (1)打开控制台界面:
(2)使用**/**登录控制台: 3.2.2 配置部署模式 打开【系统设置】-【网络配置】-【部署模式】,将部署模式配置为认证模式,eth0口作为认证口,配置客户提供的IP地址信息等,eth1口使用默认的 IP即可,后续管理和认证都使用eth0口即可: 注意:1.配置的IP需要和应用系统能够通信; 2.配置的DNS需要能解析内网应用系统的域名; (1)定义网口: (2)完成认证网口IP、网关、DNS配置: (3)完成管理口配置: (4)确认信息准确性: (5)注意:修改部署模式会重启设备: 3.2.3 配置路由(按需配置即可)
3.3 用户管理3.3.1 新增用户 【配置步骤】 (1)在【用户管理】-【组/用户】-【用户列表】点击新增,创建用户或组: (2)配置用户属性(登录名,密码,自定义属性必须配置): 其中自定义属性中的邮箱属性,如果用户有腾讯企业邮箱的应用,邮箱属性需填写相应的邮箱,否则可随意配置; (3)配置授权应用(可在这里配置,也可在应用管理里配置) (4)高级属性(按需配置) 3.4 应用管理3.4.1 密码代填 (1)新增自定义应用: 配置应用名称,选择应用分类及应用的URL地址;(注意:URL地址为用户正常访问应用系统的URL): (2)配置认证设置 选择应用类型为web,认证协议为密码代填: (3)点击认证设置中的【高级选项配置】,配置相应的字段信息: 其中URL为应用系统正常登陆的URL,登录名属性推荐使用ID,最准确: 打开相应应用系统的URL: 按F12,查看网页代码; 分别查看账号、密码、登录键的INPUT ID属性,并填写到应用信息中,点击提交即可: (4)在【认证设置】中账号配置,配置相应的主从账号策略,此处选择用户配置: (5)授权管理,将此应用授权给之前创建好的用户: (6)账号管理(这里可以配置相应的主账号对应相应应用的从账号信息) (7)点击提交,此应用授权完成,并授权给了之前创建的用户: 3.4.2 腾讯企业邮腾讯企业邮是IDTrust设备内置的一个应用,所以在新增应用时选择内置应用; 【配置步骤】 (1)新增内置应用,选择腾讯企业邮,选择添加: (2)配置基本信息,原来的URL参数不需要改变,只需要把IP改成IDTrust的认证口IP即可: (3)配置认证设置 获取token的URL和获取登录的URL保持默认即可; 看客户这边是否使用了个性域名,如果使用了个性域名,选择是,并填写相应的域名前缀;此处客户使用了个性域名,所以这里选择是。 Client ID以及ClientSecret配置可参照说明文档中,需要到管理员账户获取; 点击字段映射配置,邮箱属性中填写userid; 账号配置中选择管理员配置,默认账号选择邮箱地址,这样登录的邮箱即使用我们之前在用户配置中的邮箱属性: (4)授权管理,授权给相应的用户: (5)配置账号管理,编辑用户相应的邮箱和密码: (6)点击提交即可,看到自己创建的相应的应用: 3.5 效果展示3.5.1 单点登录效果展示 (1)使用http://认证口IP/home登录门户界面: (2)使用之前创建的user01账号登录,即可看到给自己分配的相应应用系统: 第一次登录时会提示下载插件,点击下载后加载进谷歌浏览器即可正常使用(目前插件只支持谷歌和火狐) 点击谷歌浏览器【设置】-【扩展程序】 点击启用开发者模式,并点击【加载已解压扩展程序】,选择相应浏览器的文件夹,将插件加载进来,然后可关闭开发者模式; 刷新门户界面,及不再提示下载插件,可正常使用; (3)点击之前创建的应用,即可看到自动密码代填的过程,并自动登录到系统内; 3.5.2 腾讯企业邮效果展示(1)省略登录到门户的过程,可在门户界面看到之前创建的腾讯企业邮的应用; (2)点击进入,第一次登录时需要验证并输入一次账号密码,后续不需要,可直接自动登录到邮箱内部;
|