本文介绍如何使用 EIAM(即数字身份管控平台)和 SSL VPN 实现访问控制,提升您业务的安全性。
流程
EIAM 认证配置
本节仅介绍 EIAM(即数字身份管控平台)认证配置的主要步骤。
配置认证源
1. 登录 EIAM 平台,在导航栏单击 Auth Source Management,然后在 Authentication Management 页面单击 Create authentication source。
2. 在 Create authentication source 页面选择 SAML,然后单击 Next。
3. 在 Edit authentication source information 页签配置认证参数。
Jump address:配置 metadata.xml 文件中
<SingleSignOnService></SingleSignOnService> 标记对的属性<Loction>的 Vlue(即下图中标记 Tag1 位置处的 url)。Third party IDP certificate:配置 metadata.xml 文件中
<KeyDescriptor use= "encryption"></KeyDescriptor>标记对中<X509Certificate>的 Vlue(即下图中标记 Tag2 位置处的证书)。
Enable compression encoding:Enable。
4. 单击 OK 完成认证源参数配置。
5. 单击 步骤4 中创建的 SAML,在 SAML 详情页面单击 Download SAML metadata file。
6. 将 步骤5 下载的 metadata.xml 文件在企微上发给 Tof 助手进行授权。
Tof 处理完成后您可以进行后续操作。
创建用户
1. 登录 EIAM 平台,在导航栏选择用户管理 > 组织机构管理 > 根节点,然后在根节点页面单击新建用户。
2. 在弹出的新建用户页面配置相应参数。
该处用户名密码将会用于登录 腾讯云 Client VPN 自助服务门户。
创建用户组并添加相应的成员
1. 在导航栏选择用户管理 > 用户组管理,在用户组管理页面单击新建用户组,并依据界面参数填写相应的内容,然后单击确定。
2. 在创建好的用户组区域单击添加用户。
3. 在弹出的添加用户页面将成员添加至用户组,然后单击确定。
创建 EIAM 应用
1. 在导航栏选择应用管理,单击应用市场新建,在弹出的应用市场新建页面选择 Open VPN,然后单击下一步:编辑应用信息。
2. 在编辑应用信息页签依据界面提示填写相应的信息,然后单击下一步:完成。
EIAM 应用授权
1. 在导航栏选择应用授权,在应用授权页面单击用户组授权,然后单击新增授权。
2. 在弹出的新增授权页面选择创建好的 EIAM 应用,然后单击下一步:选择用户组。
3. 在选择用户组页签勾选待授权的用户组,然后单击下一步:完成。
SSL VPN 配置
创建 SSL VPN 网关
1. 登录 私有网络控制台,在左侧导航栏中选择 VPN 连接 > VPN 网关,进入管理页。
2. 在 VPN 网关管理页面,单击 +新建 ,并在弹出的新建 VPN 网关页面依据界面参数配置 SSL VPN 网关。
3. SSL VPN 网关参数配置完成后单击创建。
创建 SSL 服务端
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端,进入管理页。
2. 在 SSL 服务端管理页面,单击 +新建 ,在弹出的新建 SSL 服务端对话框中依据界面参数配置 SSL 服务端。
参数名称 | 参数说明 |
名称 | 填写 SSL 服务端名称,不超过60个字符。 |
地域 | 展示 SSL 服务端所在地域。 |
VPN 网关 | 选择创建好的 SSL VPN 网关。 |
本端网段 | 客户移动端访问的云上网段。 |
客户端网段 | 分配给用户移动端进行通信的网段,该网段请勿与腾讯侧 VPC CIDR 冲突。 |
协议 | 服务端传输协议。 |
端口 | 填写 SSL 服务端用于数据转发的端口。 |
认证算法 | 目前支持 SHA1 和 MD5 两种认证算法。 |
加密算法 | 目前支持 AES-128-CBC、AES-192-CBC 和 AES-256-CBC 加密算法。 |
是否压缩 | 否。 |
访问控制 | 选择开启。 说明: |
认证方式 | 选择“证书认证+身份认证”。 |
EIAM 应用 | 选择在 EIAM 创建好的应用。 |
配置访问控制策略
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端,进入管理页。
2. 在 SSL 服务端列表单击具体实例 ID。
3. 在 SSL 服务端详情页面单击访问控制,并单击新建策略,然后依据界面信息配置策略信息。
参数名称 | 参数说明 |
目的端 | 填写本端 IP 网段,即访问云上的 IP 网段。 说明: 目的端网段需要与本端网段在同一网段内,若更改本端网段,需主动修改访问控制的目的端地址。 |
访问权限 | 选择特定的用户组,选择该项后需要配置访问组 ID。 |
访问组 ID | 选择被允许访问的用户组。 |
备注 | 必填,填写策略的备注信息,方便您后续识别策略信息。 |
4. 完成配置后,单击确定。
创建 SSL 客户端
1. 在左侧导航栏中选择 VPN 连接 > SSL 客户端,进入管理页。
2. 在新建 SSL 客户端对话框中设置客户端名称和选择待连接的 SSL 服务端,然后单击确定。
在 Client VPN 门户下载 SSL 客户端配置文件和 SSL 客户端
1. 登录 腾讯云 Clinet VPN 自主服务门户。
2. 在 SSL 服务端 ID 所在行的输入框中输入创建好的 SSL 服务端 ID,然后单击下一步,进入登录界面。
3. 登录腾讯云 Clinet VPN 自主服务门户。
在 EIAM 侧为您配置了认证源,同时添加到了允许访问的用户组,您单击
4. 在下载 SSL 客户端配置文件区域找到您需要下载的客户端配置文件,单击下载。
5. 在下载 SSL 客户端区域找到适合您的 SSL 客户端,单击下载。
本文以 MAC 为例,单击下载后跳转至 OpenVPN 官网,您可以在官网下载。
SSL 客户端安装与连接
1. 在本地解压安装包,双击安装程序依据界面提示进行安装。
2. SSL 客户端安装完成后,上传已下载的 SSL 客户端配置文件。
上传后自动与 SSL 服务端连接。
是
否
本页内容是否解决了您的问题?