手机蓝信APP集成零信任SDK--打开蓝信APP时建立隧道

1. 需求环境

终端环境：安卓、IOS

软件版本：蓝信APP，aTrust2.4.10（老版本也可以对接）

用户需求：

客户使用蓝信作为IM办公软件，蓝信服务端部署在内网，内网一些其他业务系，例如OA、报销系统、工单系统内网系统已集成到蓝信工作台。客户当前的使用方式是先手动打开aTrust客户端，建立隧道后然后再使用蓝信的聊天功能、以及访问工作台应用。

客户希望提升用户使用体验，实现打开蓝信APP的同时，自动完成VPN隧道的建立（单点登录），即省去手动打开aTrust客户端建立隧道的步骤。

2. 实现方案

蓝信集成零信任移动端SDK，零信任控制中心通过https认证对接蓝信center（蓝信提供token认证接口，未公开，实际项目里面需要单独沟通）实现单点登录，即蓝信和零信任同时上线，图2-1是某客户蓝信认证上线的局部流程：

从上图中可以看到：

蓝信需要提供token认证接口，集成零信任SDK，零信任需要发布免认证应用以及配置https认证。

3. 配置步骤

3.1. 获取token认证接口信息

此处需要蓝信提供蓝信center的内网访问地址、外网访问地址、token认证接口文档。

示例：

内网访问地址：192.168.100.100

外网访问地址：aaa.lanxin.com

token接口说明：

接口功能：认证center获取的token是否有效

请求方式OST (HTTPS)  Content-Type: application/json

请求地址:https://$center_auth_proxy_addr/v1/CheckAuth

● 请求数据示例:

● 返回数据示例：

业务正常返回：
{
    "status": {
        "errmsg": "OK"
    }
}
业务异常返回：
{
    "status": {
        "code": 1,
        "errmsg": "token not exist"
    }
}

从上述示例信息中，可以得到得出免认证应用应按下图配置：

3.2. 蓝信客户端集成零信任SDK

整体集成方案：1. 简介 · SDK集成文档

在集成认证方式的时候参考外部认证的接口3.2.6 外部认证（https,ldap,radius） · SDK集成文档

3.3. 零信任配置https认证

首先假设SDK传入的认证域是@https

● 创建蓝信的自定义用户目录

● 创建https认证

以下参数均是结合token认证接口配置，如果接口文档定义的参数改变，对应https认证策略的配置也需要修改。

认证域：https

请求方法：POST

请求地址：https://192.168.100.100/v1/CheckAuth   

请求头部：

Content-Type：application/json

请求URL参数、请求cookie保持默认

请求体：{{user.userPassword}}，

说明：{{user.userPassword}}是一个内置变量，它的值等于蓝信在调用SDK的startPasswordAuth接口时在password字段传入的数据

响应配置：

启用响应数据预处理脚本

function AfterResponse(response, result) {
    // TODO: 在此添加nodejs代码
    const res = JSON.parse(response.body);   
        if (res.staus.errmsg == "OK"){
                result.code=1;         
        }else{
                result.code=0;
        }
}
AfterResponse(response, result);

认证成功条件code==1

用户源设置：

认证策略关联刚刚新创建的用户目录“蓝信”

4. 认证对接排障思路

1.  确保网络连通性正常，蓝信客户端发起的请求能到达零信Center，此处参考免认证web应用的排障方法。

2.  参数调试，https认证经常会因为某个标点字符、大小写配置不对导致对接失败，这里就需要抓包或看认证调试日志进行排查，如果是后端服务器是http，则可以直接抓零信任到认证服务器的数据包，查看认证请求和响应报文与接口文档的差异，如果后端服务器是https，则只能看认证调试日志排查。

atrust_tool log set sdp-passport DEBUG        #开启调试日志
atrust_tool log set sdp-passport INFO        #关闭调试日志
cp /hislog/log/sdp-passport/sdp-passport-web.log /shared/web.log #将日志复制到webconsole的文件管理中，可以从文件管理中下载到本地

注意排障结束后关闭调试日志，避免消耗设备额外性能。

分析认证调试日志时可以搜索认证接口路径，例如“/v1/CheckAuth ”，找到对应时间点的认证请求响应报文内容，对比接口文档进行差异分析。

5. 常见对接问题

由于是两个系统对接，对接不成功主要原因还是两边参数不一致，从过去的项目来看，有以下常见原因：

1.  网络连通性异常

2.  零信任配置的认证接口与认证服务器的接口不一致，例如大小写、字符。

3.  SDK传递的用户名认证域与https认证服务器配置的认证域不一致，可通过审计日志中的认证日志判断。

4.  零信任配置的请求参数不对

5.  SDK在password字段传递的参数不对。

6.  响应配置中认证成功条件配置不对

7.  响应数据预处理脚本不对

以上2-7的排障均可通过分析认证调试日志、抓包（非加密流量）定位，除此之外还有其他各种异常问题，均可以分析调试日志定位原因。

感谢分享打开蓝信APP时建立隧道知识

多谢分享零信任SDK的集成，很有经验。

感谢分享打开蓝信APP时建立隧道的方法和步骤，图文结合，很棒。

不错的经验分享，学习了。

感谢分享，学习学习，写的很详细

建立隧道，这个知识点不错

感谢分享，有助于工作和学习。

感谢分享，有助于工作和学习。

深信服知识点越来越全面了