云山雾隐 端隐SDP

安全控制中心概览

更新时间:2021-08-12 11:26:57

简介

端隐安全控制中心主要分为用户管理、身份认证、访问控制、设备管理、应用管理、安全组、日志、设置八大模块。您可以按照下列步骤完成初次配置。

注册管理员账号

首次进入需要输入姓名、邮箱和密码注册管理员账号,完成后正常访问安全控制中心。

认证设备

前往设置>安全设置>设备认证,打开设备认证的开关,设置配对密钥的有效时间,将生成的配对密钥发给客户端用户;或者前往设备管理>用户设备>待认证设备,通过/驳回客户端用户提交的认证设备申请。

创建用户

创建新用户

前往用户管理>用户列表,点击【创建用户】,输入姓名、邮箱、手机号,选择角色和所属组织,点击【提交】。

快速创建用户

前往用户管理>用户列表>导入>快速创建,可同时创建多个用户,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

文件导入导出

前往用户管理>用户列表>导入>文件导入,下载模版——填写信息——选择组织——上传文件,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

企业微信同步用户

配置企业微信身份源后,前往用户管理>用户列表>导入>身份源导入,点击身份源名称或【详情】展开企业微信,点击导入展示未同步的用户,点击【开始导入】,验证数据完成后可选择将用户信息导出至本地或发送邮件告知用户账号密码。

创建组织

1. 前往用户管理>组织架构,点击【创建组织】,输入组织名称和父级组织,点击【提交】。

2. 点击【加入用户】,为新建的组织添加成员。

3. 点击【关联服务】,该组织所有用户将有权限访问所选服务。

4. 点击【关联规则】,所选登录规则将作用于该组织所有用户。

创建用户组

1. 前往用户管理>用户组,点击【创建用户组】,输入用户组和用户组描述,点击【提交】。

2. 点击【加入用户】,为新建的用户组添加成员。

3. 点击【加入对象】,可选择用户或组织加入该用户组。

4. 点击【关联服务】,该用户组所有用户将有权限访问所选服务。

5. 点击【关联规则】,所选登录规则将作用于该用户组所有用户。

配置企业身份源

1. 前往身份认证>企业身份源,点击【新建配置】,输入配置名称、企业ID、通讯录Secret,选择跟节点,配置数据更新规则和回调服务,点击【提交】。

2. 确认企业微信字段与端隐SDP的属性映射关系,点击【完成】。

配置短信登录

1. 前往设备>消息服务>短信服务,按照阿里云短信配置说明找到并输入AccessKey ID、AccessKey Secrect、短信签名和短信模版CODE,点击【保存】。

2. 前往身份认证>登录认证源,打开短信验证登录的开关,客户端用户将可以通过手机号和验证码登录。

企业微信扫码登录

1. 前往身份认证>登录认证源,点击【配置】,按照企业微信扫码登录配置说明找到并输入企业ID、AgentId和Secrect,点击【保存】。

2. 前往身份认证>登录认证源,打开企业微信扫码登录客户端和控制中心中心的开关,用户将可以通过企业微信扫码登录。

新建登录规则和服务访问规则

1. 前往访问控制>登录规则,点击【新建规则】,输入规则名称,选择触发条件或输入表达式,选择触发操作,输入优先级,点击【提交】。

2. 前往访问控制>服务访问规则,点击【新建规则】,输入规则名称,选择触发条件或输入表达式,选择触发操作和作用的服务,输入优先级,点击【提交】。

添加网关

1. 前往设备管理>资源池>网关设备,点击【添加网关】,选择Windows、Linux、macOS设备的对应教程,确认设备符合要求,运行命令行之后等待连接。

2. 回到资源池页面点击【刷新】,为新添加的网关设备修改名称,并将其与网关集群关联,为服务提供资源。

3. 在某网关设备上点击详情,进入网关设备详情>防火墙,点击【关联安全组】,选择通用安全组或创建通用安全组。

4. 输入安全组名称和描述,设置访问入口规则或访问出口规则,允许或拒绝授权IP和端口,并设置优先级,点击【提交】。

创建应用服务器

1. 添加服务之后,前往设备管理>资源池>应用服务器,会看到对应的应用服务器,它在系统中的作用是管理服务的防火墙进程。

2. 在某应用服务器上点击部署防火墙,进入应用服务器详情>防火墙,点击【查看部署教程】,在目标应用服务器上运行命令行完成部署,点击【完成部署并检测】。

3. 在某应用服务器上点击管理防火墙,进入应用服务器详情>防火墙,点击【关联安全组】,选择通用安全组或创建通用安全组。

4. 输入安全组名称和描述,设置访问入口规则或访问出口规则,允许或拒绝授权IP和端口,并设置优先级,点击【提交】。

创建集群

1. 前往设备管理>网关集群,点击【创建集群】,输入集群名称和集群描述,点击【提交】。

2. 为该网关集群关联已有设备或添加新设备。

添加SDP应用

1. 前往应用管理>添加应用,点击【添加应用】,上传图标,输入名称和描述,然后配置服务。配置服务时选择协议,输入服务IP和端口,输入解析域名,选择网关集群,点击【提交】。

2. 前往应用管理>应用列表,点击【添加服务】为该应用添加一个或多个服务。

3. 前往应用管理>应用列表,点击【详情】展开该应用及其服务的信息。

4. 在某服务上点击授权访问,进入服务详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该服务。

5. 在某服务上点击防火墙待配置,进入服务详情>关联防火墙,点击待配置,点击【查看部署教程】,在目标应用服务器上运行命令行完成部署,点击【完成部署并检测】。

6. 在某服务上点击详情,进入服务详情>关联防火墙,点击【查看】,跳转到设备管理>资源池>应用服务器详情>防火墙,开启防火墙开关。

添加SSO应用

1. 前往应用管理>添加应用,点击【添加应用】,上传图标,输入名称、URL、描述,然后配置服务。点击【配置按钮】,按照单点登录配置说明下载IDP元数据,上传SP元数据,选择格式属性,配置SAML属性映射,点击【提交】。

2. 在某服务上点击授权访问,进入服务详情>授权对象,点击【授权对象】,为组织、用户组、用户或设备授权该服务。

常见问题

本页面提供关于端隐 SDP 的一些常见问题的解答,方便您更加了解我们。

如何在端隐SDP找到您的工作区Token?

所有浏览器和客户端用户都需要一个工作区Token才能登录,目的是区分您所在的企业或单位。

管理员在创建用户时可获得该Token,可复制或以邮件的形式发送给用户。管理员前往端隐安全控制中心>设置>个性化设置>工作区Token,复制工作区Token并发送给用户。