云山雾隐 端隐SDP

端隐统一身份认证系统(IDaaS)

更新时间:2023-03-30 10:26:33

简介

端隐统一身份认证系统主要分为概览、用户管理、身份认证、设备管理、应用管理、访问控制、日志、设置八大模块。您可以按照下列步骤完成初次配置。

注册管理员账号

首次进入需要输入姓名、邮箱和密码注册管理员账号,完成后正常访问安全控制中心。

概览

概览页面提供系统内关键数据的统计和数据可视化,让管理员对系统运行数据快速了解。可查看用户状态监控、登录认证与服务访问两类数据。

用户概览

1. 当前在线用户数:当前系统中在线的用户数量;

2. 已激活用户数:系统中已激活的用户数量;

3. 总用户数:系统中已激活用户数+已停用用户数。

异常用户状态

1. 超30天未登录:最近30天未登录过系统的已激活用户数量;

2. 未验证手机号:手机号还未完成过验证的已激活用户数量;

3. 未绑定身份验证器:还未绑定身份验证器的已激活用户数量。

用户可信值

1. 极高:用户可信分数≥85;

2. 中等:用户可信分数60≤n<85;

3. 低:用户可信分数<60。

可信分数排名

显示用户可信分数最高或最低的五位用户,点击跳转至所选用户详情。

用户登录地图

1. 登录国家不超过5个显示分布地图:中间区域默认展示登录次数最多的国家,周围显示其余存在登录的国家;

2. 登录国家超过5个分布世界地图:显示世界地图,按国家区域划分,统计全国成功登录的次数;

3. 数据视图:点击地图右侧【数据视图】可列表显示登录的地区和次数。

用户异地登录

按照时间倒序展示异地成功登录事件。单条数据包括姓名、登录时间、IP、地区。

非常用设备登录

按照时间倒序展示非常用设备登录事件。单条数据包括姓名、登录时间、设备名称、IP。

服务访问次数TOP5

列表展示一段时间内,成功访问次数最多的5个服务的名称和访问次数。

创建用户

创建新用户

前往用户管理>用户列表,点击【创建用户】,输入姓名、邮箱、手机号,选择所属组织,点击【提交】

快速创建

前往用户管理>用户列表>导入>快速创建,可同时创建多个用户,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

文件导入用户

前往用户管理>用户列表>导入>文件导入,下载模版——填写信息——选择组织——上传文件,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

身份源同步用户

配置身份源后,前往用户管理>用户列表>导入>身份源导入,点击身份源名称或【详情】展开第三方身份源,点击导入展示未同步的用户,点击【开始导入】,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

创建组织

1. 前往用户管理>组织架构,点击【创建组织】,输入组织名称和父级组织,点击【提交】

2. 点击【加入用户】,为新建的组织添加成员。

3. 点击【关联服务】,该组织所有用户将有权限访问所选服务。

4. 点击【关联策略】,所选登录策略将作用于该组织所有用户。

创建用户组

1. 前往用户管理>用户组,点击【创建用户组】,输入用户组和用户组描述,点击【提交】

2. 点击【加入用户】,为新建的用户组添加成员。

3. 点击【加入对象】,可选择用户或组织加入该用户组。

4. 点击【关联服务】,该用户组所有用户将有权限访问所选服务。

5. 点击【关联策略】,所选登录策略将作用于该用户组所有用户。

配置企业身份源

1. 前往身份认证>企业身份源,点击【新建配置】,完成基本配置,数据同步配置和属性映射,点击【提交】

2. 前往身份认证>企业身份源,点击【详情】展开身份源卡片,点击【同步至企业微信】,企业身份源的用户数据将被更新。

3. 前往身份认证>企业身份源,选择同步记录标签页,可查看全部身份源历史同步记录;点击【详情】查看单次同步记录的详情,详情包括新建用户、新建组织、更新用户、更新组织、失败用户、失败组织。

登录认证源

前往身份认证>登录认证源,打开扫码登录客户端或控制中心的开关,用户将可以通过企业微信扫码登录。

配置短信登录

前往设置>消息服务>短信服务,按照阿里云短信配置说明找到并输入AccessKey ID、AccessKey Secrect、短信签名和短信模版CODE,点击【保存】

添加SSO应用

前往应用管理>添加SSO应用,根据所要添加应用的实际情况选择认证协议、SDK或应用模版。

名词解释

1. 单点登录(SSO)

SSO是在多个应用系統中,用户只需要登录一次就可以访问所有相互信任的应用系統,是目前比较流行的企业业务整合的解决方案之一。

2. 身份提供商(IdP)

一个包含有关外部身份提供商元数据的实体,身份提供商可以提供身份管理服务。

3. 服务提供商(SP)

利用IdP的身份管理功能,为用户提供具体服务的应用,SP会使用IdP提供的用户信息。一些非SAML协议的身份系统,也把服务提供商称作IdP的信赖方。

4. 安全断言标记语言2.0 (SAML 2.0)

安全断言标记语言2.0 作为 SAML 的最新标准, 用来在安全域中交换身份验证数据和授权数据。它使用包含断言的安全令牌在SAML授权方和SAML消费方之间传递委托人的信息。SAML 2.0 可以实现基于网络跨域的单点登录,以便于减少向一个用户分发多个身份验证令牌的管理开销。

操作步骤

1. SAML2.0:点击SAML2.0中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、配置端隐身份提供商信息、提供服务提供商信息;

2. OIDC:点击OIDC中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、配置端隐身份提供商信息、提供服务提供商信息;

3. SDK:点击SDK中的【添加应用】进入页面,根据教程完成配置,配置步骤为创建应用、选择开发语言(支持golang和php)、接入SDK;

4. 预设应用模板:择应用模板点击进入页面,根据教程完成配置。

添加快捷访问

前往应用管理>添加快捷访问,点击【添加应用】,选择Web应用或客户端应用。

添加密码管理

前往应用管理>密码管理,点击添加应用,输入服务名称、服务URL、账号、密码、验证码密钥和描述,选择权限分发方式(账号密码或免密共享)。

新建登录规则和服务访问规则

1. 前往访问控制>登录策略,点击【创建策略】,输入策略名称,选择自动策略或条件策略,输入优先级,点击【提交】

2. 前往访问控制>访问策略,点击【创建策略】,输入策略名称,选择服务,选择自动策略或条件策略,输入优先级,点击【提交】

端隐终端安全准入系统(NAC)

更新时间:2023-03-30 10:26:33

入网流程

端隐终端安全准入主要包含如下环节:

终端入网注册
终端身份认证
安全策略验证
安全域访问控制

1. 终端入网注册:终端设备需在准入客户端提交设备注册信息至准入控制中心,经管理员审批或自主完成注册后,可进入下一环节。

2. 终端身份认证:终端身份验证分为用户身份验证和设备身份验证,可按需配置。

用户身份验证:验证当前使用该设备的终端用户身份是否合法,若合法即可进入下一环节;

设备身份验证:验证该设备当前接入交换机端口是否与已绑定端口匹配,若匹配即可进入下一环节。

3. 安全策略验证:验证是否通过系统内配置的安全策略,若通过即可进入下一环节。

4. 安全域访问控制:以上验证环节全部通过后,终端设备即可访问已被授权的安全域。

登录控制中心

系统完成部署后,会生成首个超级管理员的用户名和密码。登录控制中心后,可前往设置>管理员列表,创建更多管理员。

绑定身份验证器

下载端隐身份验证器,类型选择端隐身份验证器,将当前NAC账号录入端隐身份验证器,然后在控制中心输入6位数字验证码。

重置密码

成功绑定端隐身份验证器后,请按照要求修改您的初始密码。

添加设备位置

前往设备管理>设备位置,创建设备位置信息,方便对网络设备及终端设备进行定位,还将用于终端设备在准入客户端提交注册申请时设备位置信息的选择。

添加组织架构

前往用户管理>组织架构,创建组织架构信息,方便对网络设备及终端设备进行责任管理,还将用于终端设备在准入客户端提交注册申请时组织架构信息的选择。

创建入网角色

前往安全规范>入网角色,点击【创建角色】,创建角色并关联终端设备,可用于对终端设备进行资产自动或手动分组:

1. 若选择类型为自动关联:您可以自定义终端设备自动关联该角色的规则。

2. 若选择类型为手动关联:创建完成后,管理员可前往安全规范>入网角色>入网角色详情页面,关联指定终端设备。

创建安全策略

前往安全规范>安全策略,您可以选择手动配置策略,或将AI策略关联于终端设备。两类策略可同时应用,也可基于实际需求任选一类进行配置。

1. 手动配置策略

选择关联对象:选择该安全策略所应用的终端设备。

若选择全局设备:该策略将对所有触网终端设备生效。

若选择指定设备:可选择为入网角色或某一终端设备。

定义违规事件:可通过对检测项的组合定义违规事件。若检测项之间以“并且”关联,则终端设备需同时触发所有“并且”关联的检测项时,才触发对应处置操作。

选择违规事件的威胁等级:高危、中危、低危

设置处置操作:设置当定义违规事件触发时,系统将自动下发何种处置操作。处置等级由低到高分为告警、限制,不同处置操作类型可对设备同时下发:

告警

告警记录:对事件生成违规记录,可前往风险告警>告警中心>发生违规查看

邮件通知:通过邮件将终端设备的违规行为通知至告警接收人,可前往风险告警>告警设置>邮件通知接收设置接收邮箱。

限制

隔离设备:终端设备将被暂时隔离,恢复正常后将自动重新入网。

禁用设备:终端设备将被永久隔离,如需再次入网,需管理员手动激活。

2. AI策略

系统将基于模型管理,由AI自动生成基于设备可信分数的控制策略,自动化执行风险处置。

配置准入模式

前往设置>系统配置,以选择系统模式。

1. 根据防护等级区分,可选择放开模式、部署模式、防护模式,影响因素包含:设备认证、认证协议、防火策略、设备激活方式、IP策略及跨Vlan访问。

设备认证:是否限制设备状态;

认证协议:是否开启端口认证协议;

防护策略:系统防护策略是否生效;

设备激活:是否支持自动激活、手动激活和审批激活;

IP策略:系统IP分配的方式,分为手动或自动;

跨Vlan访问:是否允许网内跨Vlan访问。

2. 根据自身需求,可配置认证协议:ACL强认证、802.1.x认证、Portal认证、MAC认证、访客认证等。

审批入网申请

前往设备管理>终端设备>未注册,对设备的入网申请进行通过或驳回。

1. 点击【通过】:绑定该终端设备当前所接入的交换机端口,为其分配IP地址、入网角色,查看并编辑注册信息。该终端设备将被激活。在激活状态下,设备的网络访问权限将取决于其是否通过安全策略。

2. 点击【驳回】:该终端设备将被禁用,无法访问网络。

下载客户端

终端设备触网后,将自动重定向至该网络准入门户。点击【下载客户端】,在电脑上完成准入客户端安装。

用户登录

安装完成后,打开客户端。(若控制中心未开启“用户认证”,跳过此步骤)

提交本机入网注册

1. 若控制中心开启“入网审批”:

填写设备责任人、联系电话、所属组织、所处位置

点击【提交申请】,提交当前设备的入网申请至准入控制中心后,待管理员审批

2. 若控制中心未开启“入网审批”:

填写设备责任人、联系电话、所属组织、所处位置

点击【完成注册】,当前设备即在准入系统中成功注册

本机成功入网

设备完成入网注册并通过安全策略后,即可正常访问网络。

端隐运维安全管理系统(ZBH)

更新时间:2023-03-30 10:26:33

简介

端隐ZBH主要分为用户管理、身份认证、设备管理、访问控制、高告警管理日志、设置八大模块。初次配置的步骤与端隐身份认证系统一致,主机列表相关操作如下。

添加主机

1. 前往设备管理>主机列表,点击【添加主机组】,输入主机组名称,选择主机协议,输入主机IP和端口,选择网关/网关集群,点击【提交】

2. 前往设备管理>主机列表,点击【添加主机】为该主机组添加一个或多个主机。

3. 前往设备管理>主机列表,点击主机卡片的【配置】,查看该主机的信息。

4. 在主机卡片上点击【授权访问】,进入主机详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该主机的访问权限。

端隐可信应用网关系统(GTW)

更新时间:2023-03-30 10:26:33

简介

端隐可信应用网关系统主要分为用户管理、身份认证、设备管理、应用管理、访问控制、告警管理、日志、设置八大模块。您可以按照下列步骤完成初次配置。

注册管理员账号

首次进入需要输入姓名、邮箱和密码注册管理员账号,完成后正常访问安全控制中心。

认证设备

前往设置>安全设置>设备认证,打开设备认证的开关,设置配对密钥的有效时间,将生成的配对密钥发给客户端用户;或者前往设备管理>用户设备>待认证设备,通过/驳回客户端用户提交的认证设备申请。

创建用户

创建新用户

前往用户管理>用户列表,点击【创建用户】,输入姓名、邮箱、手机号,选择所属组织,点击【提交】

快速创建用户

前往用户管理>用户列表>导入>快速创建,可同时创建多个用户,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

文件导入用户

前往用户管理>用户列表>导入>文件导入,下载模版——填写信息——选择组织——上传文件,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

身份源同步用户

配置身份源后,前往用户管理>用户列表>导入>身份源导入,点击身份源名称或【详情】展开第三方身份源,点击导入展示未同步的用户,点击【开始导入】,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

创建组织

1. 前往用户管理>组织架构,点击【创建组织】,输入组织名称和父级组织,点击【提交】

2. 点击【加入用户】,为新建的组织添加成员。

3. 点击【关联服务】,该组织所有用户将有权限访问所选服务。

4. 点击【关联策略】,所选登录策略将作用于该组织所有用户。

创建用户组

1. 前往用户管理>用户组,点击【创建用户组】,输入用户组和用户组描述,点击【提交】

2. 点击【加入用户】,为新建的用户组添加成员。

3. 点击【加入对象】,可选择用户或组织加入该用户组。

4. 点击【关联服务】,该用户组所有用户将有权限访问所选服务。

5. 点击【关联策略】,所选登录策略将作用于该用户组所有用户。

配置企业身份源

1. 前往身份认证>企业身份源,点击【新建配置】,完成基本配置,数据同步配置和属性映射,点击【提交】

2. 配置完成后,打开扫码登录客户端或控制中心的开关,用户将可以通过企业微信扫码登录。

配置短信登录

前往设置>消息服务>短信服务,按照阿里云短信配置说明找到并输入AccessKey ID、AccessKey Secrect、短信签名和短信模版CODE,点击【保存】

添加网关

1. 前往设备管理>资源池>网关设备,点击【添加网关】,选择Windows、Linux、macOS设备的对应教程,确认设备符合要求,运行命令行之后等待连接。

2. 回到资源池页面点击【刷新】,为新添加的网关设备修改名称,并将其与网关集群关联,为服务提供资源。

添加应用服务器

1. 添加服务之后,前往设备管理>资源池>应用服务器,会看到对应的应用服务器,它在系统中的作用是管理服务的防火墙进程。

2. 在某应用服务器上点击部署防火墙,进入应用服务器详情>防火墙,点击【查看部署教程】,在目标应用服务器上运行命令行完成部署,点击【完成部署并检测】

创建集群

1. 前往设备管理>网关集群,点击【创建集群】,输入集群名称和集群描述,点击【提交】

2. 为该网关集群关联已有设备或添加新设备。

添加SDP应用

1. 前往应用管理>添加SDP应用,点击【添加应用】,输入名称和描述,然后配置服务。配置服务时选择协议,输入服务IP和端口,输入用户访问域名,选择网关,点击【提交】

2. 前往应用管理>应用列表,点击【添加服务】为该应用添加一个或多个服务。

3. 前往应用管理>应用列表,点击【配置】,查看该应用及其服务的信息。

4. 点击【授权访问】,进入服务详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该服务。

添加SSO应用

前往应用管理>添加SSO应用,根据所要添加应用的实际情况选择认证协议、SDK或应用模版。

添加快捷访问

前往应用管理>添加快捷访问,点击【添加应用】,选择Web应用或客户端应用。

添加密码管理

前往应用管理>密码管理,点击添加应用,输入服务名称、服务URL、账号、密码、验证码密钥和描述,选择权限分发方式(账号密码或免密共享)。

新建登录规则和服务访问规则

1. 前往访问控制>登录策略,点击【创建策略】,输入策略名称,选择自动策略或条件策略,输入优先级,点击【提交】

2. 前往访问控制>访问策略,点击【创建策略】,输入策略名称,选择服务,选择自动策略或条件策略,输入优先级,点击【提交】

常见问题

如何在端隐可信应用网关系统找到您的工作区Token?

所有浏览器和客户端用户都需要一个工作区Token才能登录,目的是区分您所在的企业或单位。

管理员在创建用户时可获得该Token,可复制或以邮件的形式发送给用户。管理员前往端隐安全控制中心>设置>企业设置>工作区Token,复制工作区Token并发送给用户。