零信任对接竹云做统一身份认证，同时针对不同用户目录做资源授权

一次零信任对接竹云做统一身份认证访问业务系统的技术分享

首先介绍一下实施背景

• 客户新购买了竹云，用来做统一身份认证
• 客户使用零信任访问内网业务，后面称该业务为SC，且客户为SC系统单独在互联网做了一个账号申请的映射。
• 当前零信任认证认证对接了AD域控
• 竹云会和AD域控做账号信息的同步，但通过SC账号申请会生成不属于域控的账号，存放在竹云后端。

  
  
  
  

需求（整体访问流程）分两种情况：

第一种情况

• 公司内部用户访问外网SC域名
• 跳转到零信任登录页面
• 通过AD域账号进行认证后直接跳转到SC的web界面并且已经登录完成

  
  
  
  

第二种情况

• 客户给企业外部用户发送了SC账号申请，外部用户注册后，账号存放进竹云，并访问外网SC域名
• 跳转到零信任登录页面
• 选择竹云认证方式进行认证后直接跳转SC的web界面并且已经登录完成

  
  
  
  

实现过程：

首先分析客户需求对应了设备的哪些配置

1.竹云认证对接

2.需要发布SC业务的web资源，利用前端地址转换成后端地址，实现登录完成后自动跳转

3.客户需要将域名指向零信任公网IP

4.针对外部账号也需要做授权则需要将竹云认证关联域控的账号体系，针对不在域控中的账号，默认授权对应资源

详细配置

1.配置竹云认证对接，根据竹云提供的接口文档，进行认证服务器配置，同时竹云侧需要创建对应的client，将clientID和client_secret提供给我们，相关配置不做赘述，关联用户源需要选择AD域控

2.进入用户管理，AD域控的设置界面，设置未导入用户默认授权SC的web和隧道资源（有零信任客户端的用户会通过客户端走隧道访问，没有客户端的用户直接访问web资源）

3.SC的web资源配置

前端地址填写SC外网域名，后端地址填写资源的内网IP+端口

整体配置完成

总结：

该需求配置不算特别复杂，主要是确认需求过程中，将整体流程进行拆解，根据每个环节来确定需要进行哪些配置