IDTrust密码代填&腾讯企业邮配置

第1章  产品简介

     深信服统一身份安全管理系统（简称：IDTrust），强调以人为中心应用访问控制，提供统一身份管理、统一身份认证、统一门户/单点登录(SSO)、集中应用授权、审计与分析等功能，让认证更简易、身份更安全、应用访问更可控；并实现身份全生命周期管理，降低管理员账号开户、变更、销户等带来的运维复杂度，让管理更高效。

  IDTrust通过HR等数据源进行统一身份认证和权限管理，同时支持开放数据给其它应用和网络设备，并对所有行为进行安全审计，其架构图如下:

                 
第2章  项目前期准备

2.1    收集客户应用系统信息，并让客户填写好相应的《应用信息收集表》

               

第3章  测试过程

3.1  测试环境

（1） IDTrust一台 （软件或硬件平台），旁路部署模式，确保网络可达

（2） 测试PC一台

（3） 支持Oauth协议或密码代填等其他协议的应用系统一个（需要与IDTrust网络可达）

   测试拓扑如下：

3.2  安装部署

3.2.1 登录控制台

将电脑直连设备ETH1口，配置和接口默认IP同一网段的地址，打开控制台，通过https://10.2*1.251.*51登录设备控制台， 默认的用户名和密码为**n。 设备出厂的默认IP见下表：

接口	IDTrust
ETH1（DMZ）	10.2*1.251.*51/24

（1）打开控制台界面：

   

（2）使用**/**登录控制台：

         

3.2.2 配置部署模式

打开【系统设置】-【网络配置】-【部署模式】，将部署模式配置为认证模式，eth0口作为认证口，配置客户提供的IP地址信息等，eth1口使用默认的 IP即可，后续管理和认证都使用eth0口即可：

注意：1.配置的IP需要和应用系统能够通信；

    2.配置的DNS需要能解析内网应用系统的域名；

（1）定义网口:

   

（2）完成认证网口IP、网关、DNS配置:

   

（3）完成管理口配置:

   

（4）确认信息准确性:

   

（5）注意：修改部署模式会重启设备:

     

3.2.3 配置路由（按需配置即可）

   

3.3  用户管理

3.3.1 新增用户

【配置步骤】

（1）在【用户管理】-【组/用户】-【用户列表】点击新增，创建用户或组：

         

（2）配置用户属性（登录名，密码，自定义属性必须配置）：

         

其中自定义属性中的邮箱属性，如果用户有腾讯企业邮箱的应用，邮箱属性需填写相应的邮箱，否则可随意配置；

         

（3）配置授权应用（可在这里配置，也可在应用管理里配置）

         

（4）高级属性（按需配置）

         

3.4   应用管理

3.4.1 密码代填

（1）新增自定义应用：

配置应用名称，选择应用分类及应用的URL地址；（注意：URL地址为用户正常访问应用系统的URL）：

         

（2）配置认证设置

选择应用类型为web，认证协议为密码代填：

      

（3）点击认证设置中的【高级选项配置】，配置相应的字段信息：

        

其中URL为应用系统正常登陆的URL，登录名属性推荐使用ID，最准确：

        

打开相应应用系统的URL：

        

按F12，查看网页代码；

分别查看账号、密码、登录键的INPUT  ID属性，并填写到应用信息中，点击提交即可：

        

        

（4）在【认证设置】中账号配置，配置相应的主从账号策略，此处选择用户配置：

        

（5）授权管理，将此应用授权给之前创建好的用户：

        

（6）账号管理（这里可以配置相应的主账号对应相应应用的从账号信息）

        

（7）点击提交，此应用授权完成，并授权给了之前创建的用户：

3.4.2 腾讯企业邮

腾讯企业邮是IDTrust设备内置的一个应用，所以在新增应用时选择内置应用；

【配置步骤】

（1）新增内置应用，选择腾讯企业邮，选择添加：

        

（2）配置基本信息，原来的URL参数不需要改变，只需要把IP改成IDTrust的认证口IP即可：

        

（3）配置认证设置

获取token的URL和获取登录的URL保持默认即可；

        

看客户这边是否使用了个性域名，如果使用了个性域名，选择是，并填写相应的域名前缀；此处客户使用了个性域名，所以这里选择是。

        

Client ID以及ClientSecret配置可参照说明文档中，需要到管理员账户获取；

        
        

点击字段映射配置，邮箱属性中填写userid；

        

账号配置中选择管理员配置，默认账号选择邮箱地址，这样登录的邮箱即使用我们之前在用户配置中的邮箱属性：

        

（4）授权管理，授权给相应的用户：

        

（5）配置账号管理，编辑用户相应的邮箱和密码：

        

（6）点击提交即可，看到自己创建的相应的应用：

        

3.5  效果展示

3.5.1 单点登录效果展示

（1）使用http://认证口IP/home登录门户界面：

        

（2）使用之前创建的user01账号登录，即可看到给自己分配的相应应用系统：

        

        

第一次登录时会提示下载插件，点击下载后加载进谷歌浏览器即可正常使用（目前插件只支持谷歌和火狐）

点击谷歌浏览器【设置】-【扩展程序】

        

点击启用开发者模式，并点击【加载已解压扩展程序】，选择相应浏览器的文件夹，将插件加载进来，然后可关闭开发者模式；

        

        

刷新门户界面，及不再提示下载插件，可正常使用；

        

（3）点击之前创建的应用，即可看到自动密码代填的过程，并自动登录到系统内；

        

3.5.2 腾讯企业邮效果展示

（1）省略登录到门户的过程，可在门户界面看到之前创建的腾讯企业邮的应用；

        

（2）点击进入，第一次登录时需要验证并输入一次账号密码，后续不需要，可直接自动登录到邮箱内部；

        

感谢分享，IDTrust项目对接应用是基本操作，但是现阶段对接经验还很少，这个案例可以帮助大家更好的理解IDTrust如何对接应用，怎么完成相关配置，很有价值。

分享的内容非常详细，已将帖子放入技术博文，给更多用户参考学习！

社区原创分享活动正在进行，只要符合内容要求，就有奖励，欢迎投稿~
了解奖励和投稿要求，请参考：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=98597

感谢分享  大神很牛

感谢楼主分享，分享的内容对社区小伙伴很有帮助，希望楼主带来更多有用的技术帖。

老师的分享 ，学习一下

总结得很详细

很详细的分享

楼主的认真分享内容超丰富~，期待楼主带来更多有用的技术帖。

感谢楼主的分享