×

零信任本地不存放用户信息(未导入用户允许登录)的认证授权方案
  

杨童 9208

{{ttag.title}}
本帖最后由 杨童 于 2024-8-10 23:55 编辑

本文核心思想:介绍零信任本地不存放用户信息(未导入用户允许登录)场景下,用户认证、资源授权方案的原理和具体配置

场景举例:
场景1:客户当前有独立的认证平台(如cas、oauth、http(s)服务器),认证平台内部有组织架构和用户信息,但是认证服务器没有对外提供ldap接口,客户侧也没有ad域、ldap等类型的用户目录服务器,无法将用户信息导入到零信任,但是还是想使用认证服务器的账户信息登录零信任,同时实现基于组织架构或角色的权限划分。

场景2:客户当前有认证平台和用户目录服务器,但是因为敏感信息等原因,客户不愿意把用户身份信息同步存放到零信任,但是还是想使用认证服务器的账户信息登录零信任,同时实现基于组织架构或角色的权限划分。

方案基本逻辑介绍:
零信任本身提供了名为未导入用户登录的功能,如下图

该功能的作用:在使用外部认证服务器认证时,零信任会将当前认证的帐号拿出来,在与认证服务器关联的用户目录中查询该用户是否存在,如果不存在,则根据配置选择禁止或允许登录;还可以通过认证时解析组织架构或角色信息实现精细化授权

举个例子:当前张三使用http(s)认证方式登录零信任,http(s)认证关联的用户目录名为自定义
而自定义目录中没有张三的帐号
目录中设置了未导入用户禁止登录
此时张三登录就会提示帐号未导入禁止登录

此时修改成未导入允许登录,张三就可以正常登录了

以上仅对基本功能作了说明,下边会介绍详细的功能和配置逻辑


方案配置要点讲解:
1、只有自定义用户目录支持未导入的用户根据组织架构做资源授权,其他的比如ldap、ad域、企业微信等等,都只能支持未导入的用户使用默认授权和默认策略,如下图

2、在允许登录中有两个配置,"使用默认授权和默认策略","根据认证时解析的组织架构和角色信息获取授权和策略"

2.1、使用默认授权和默认策略:字面意思,所有未导入的用户允许登录后,资源权限根据默认配置来
2.2、根据认证时解析的组织架构和角色信息获取授权和策略:未导入的用户在登录时需要携带组织架构信息,零信任根据认证报文中携带的组织架构信息给用户分组授权,具体说明如下:
在外部认证服务器中(企业微信、钉钉等部分认证服务器除外,注意提前确认是否支持),响应参数中可以配置组织架构字段,如下图,https、oauth、cas、ldap、ad域的页面示例,所谓的登录时需要携带的组织架构信息就在这些地方体现


ad和ldap默认自带组织架构字段(当然也要具体看,有些反人类开发会不按套路出牌)
而http、oauth、cas的自定义程度较高,虽然协议是标准的,但是是否会回复组织架构字段该需要单独确认,可以根据认证服务器厂商提供的接口文档确认,如果默认不带组织架构字段,则需要沟通由认证服务器厂商开发修改

结合以上,以https认证举例说明认证时解析的组织架构的工作逻辑,流程图如下,其他认证也是一样逻辑,零信任从认证服务器拿到组织架构字段再在本地做映射和登记




完整配置举例(以https认证方式举例):

先创建自定义用户目录


设置未导入用户允许登录,并根据认证数据解析字段授权


给/sangfor/test组织授权一个资源


提前建立角色,并给角色设置好授权资源和生效组织架构


配置认证服务器,设置组织架构字段映射,关联自定义用户目录


配置一个用户策略,设置对应组


用户登录后具有对应组织架构和角色的授权

在线用户显示符合预期

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

睡着的猫 发表于 2024-8-14 16:17
  
可以可以,膜拜学习下
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
干货满满
技术笔记
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
排障那些事
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
玩转零信任
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

0
2
1

发帖

粉丝

关注

38
7
5

发帖

粉丝

关注

5
3
4

发帖

粉丝

关注

47
4
1

发帖

粉丝

关注

1
4
0

发帖

粉丝

关注

0
0
0

发帖

粉丝

关注

本版达人