2020“Zero trust 零信任” 持续火热,零信任不仅仅是技术,更是理念的转变,会成为未来十年主流的网络安全架构。企业如何快速构建自己的零信任 SDP防护架构。
背景:国内现状
大多数企业尚未建立企业的身份认证和授权中心,能够管理企业内外部的所有人员的认证和授权。因此,赛赋推出了国内首款开箱即用的IDaaS平台。
赛赋IDaaS 开箱即用
访问官网:www.cipherchina.com 点击【申请试用】
Step1: 注册管理员账户:
填写姓名、手机号后开通管理员账户。
注册完成后,账号密码将发送至注册使用的手机号码。
Step2: 开通企业IDaaS服务
登录进入赛赋IDaaS平台
点击入口,进入企业租户展示页面,若未创建任何企业,将显示提示用户创建企业
创建企业请填写企业名称、管理员邮箱,验证后即可开通企业IDaaS服务。
邮箱验证通过后,进入配置租户门户地址的页面,系统将自动提取用户邮箱后缀作为建议的门户域名地址,门户地址如xxx.cipherchina.com。
点击完成,创建企业成功。客户若要使用自有的域名,可将进行域名解析配置,将自有域名的CNAME指向在赛赋IDaaS平台创建的企业门户域名,如xxx.cipherchina.com
至此,注册流程已全部完成,点击进入企业或在浏览器中直接输入域名gmail.cipherchina.com即可进入您创建的企业门户。
Step3: 建立我的第一个应用(以阿里云为例)
IDaaS管理后台添加【Aliyun应用】
Step1: 进入【资源管理】--【应用管理】--【添加应用】
选择创建新的“SAML应用”
Step2:配置SAML应用信息:
应用登录地址填写 https://signin.aliyun.com/12302xxxxxxx8674.onaliyun.com/login.htm
该地址通过登录阿里云控制台-访问控制获得。参考下文的阿里云控制台配置。
relayState地址:阿里云应用无需配置AssertionConsumerServiceUrl地址,填写阿里云接收认证返回Response的地址,例如阿里云的ACS地址为:https://signin.aliyun.com/saml/SSO
断言有效期:200秒entityId为分配给该应用IDP唯一标识,可填写与登录地址一致:https://signin.aliyun.com/12302xxxxxxx8674.onaliyun.com/login.htm
Step3:下载元数据Metadata
保存以上配置。点击【下载元数据】到本地,备用。
Step4: 授权用户
点击【子账号管理】标签,勾选要授权的用户,保存。
Step5: 配置阿里云子账号
点击右侧【配置从账号】,填写阿里云从账号(从阿里云控制台获取,获取方式参考下文的阿里云控制台配置),密码不能为空(随便填写个数值即可,不用填写真实密码),保存。
Step6:到门户页面查看
刷新后应该可以看到【阿里云】的应用,但此时点击仍然是不成功的。需要到阿里云控制台上传元数据。
阿里云控制台配置:
Step7:阿里云控制台上传元数据文件
阿里云控制台-【右上角头像】--【访问控制】
如下图。(如果阿里云控制台不是该界面,是因为阿里云控制台的版本问题,点击屏幕右下角,体验新版,可以切换到新版控制台界面)
阿里云控制台获取用户登录名
【访问控制】--【用户】
点击添加权限,如可以配置ECS的管理权限。
(3)阿里云控制台上传元数据
【SSO】管理--【用户SSO】--【编辑】--【开启】--【上传文件】
Step8大功告成:
此时,登录到IDaaS门户,点击【阿里云】应用,可以直接跳转到阿里云
点击后即可进入阿里云控制台。
最后零信任是一个理念,它是需要长期投入建设并不断更新的。通过前面的分析,相信大家也可以从其中清晰的看到和了解零信任的模型和理念,并且我们可以确定的知道了零信任中身份的核心地位,而建设好零信任也必将以IDaaS为基石。
那么,我这有开源的IDaaS你想试试吗?
CipherIDaaS开源项目地址:https://github.com/CipherChina/CipherIDaaS
同时我们也低调的发布了IDaaS云服务:http://www.cipherchina.com
欢迎注册免费体验。
如何联络CipherIDaaS开源项目交流QQ群:732326053
微信众号搜索“赛赋”,或扫描二维码