本文为您介绍智能接入网关SAG(Smart Access Gateway)APP如何联动应用身份服务IDaaS(Alibaba Cloud Identity as a Service)实现客户端账号自动同步。同步后,您可直接通过企业内部账号信息登录阿里云网络客户端,连接企业内网。

前提条件

  • 您的企业已部署AD(Active Directory)认证系统并与IDaaS实现账号数据同步。具体操作,请参见LDAP账户同步配置
  • 您已经在阿里云创建了专有网络VPC(Virtual Private Cloud)。具体操作,请参见创建专有网络

背景信息

企业员工通过SAG APP连接内网时,需要企业管理员在智能接入网关控制台为其员工创建客户端账号,对于一些拥有较多员工且已创建自身AD(Active Directory)认证系统的企业来说,创建和维护客户端账号的工作是重复且繁琐的。为优化使用体验,SAG APP与阿里云IDaaS产品已实现功能对接,您在IDaaS平台添加智能接入网关应用并进行相关账号授权后,IDaaS可在智能接入网关平台为您同步创建客户端账号,客户端账号的用户名和密码与您的企业内部账号一致,您可以直接使用企业内部账号信息登录阿里云网络客户端,经过IDaaS进行统一的身份认证后,访问相应资源。

本文以下面场景为例,为您介绍如何在IDaaS控制台添加智能接入网关应用,实现客户端账号自动同步。同步后,您可以直接通过企业内部账号信息登录阿里云网络客户端进而连接企业内网。

SAG+IDaaS组合应用方案

某大型企业拥有自己的AD认证系统,为方便管理员工的账号信息和应用权限,企业已将自身的AD认证系统与阿里云IDaaS系统对接,并实现了数据同步。现企业因业务扩展需求,需要移动端用户能访问已部署的云上资源。企业已决定使用智能接入网关APP产品帮移动端用户接入阿里云,且为方便管理客户端账号和应用权限,企业计划在IDaaS系统中添加智能接入网关应用,通过IDaaS系统自动同步客户端账号和管理应用权限,客户端账号同步后,移动端用户便可直接通过企业内部账号信息登录阿里云网络客户端,连接企业内网。

配置步骤

IDaaS配置步骤

步骤一:购买SAG APP实例

在您使用SAG APP产品前,您需要先购买一个SAG APP实例。购买后,您可以通过SAG APP实例统一管理云上网络连接和阿里云网络客户端连接。

  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,选择智能接入网关APP > APP实例管理
  3. 智能接入网关APP页面,单击创建智能接入网关APP,然后根据以下内容配置购买信息并完成支付。
    • 区域:阿里云网络客户端接入阿里云的区域。本示例选择中国内地
    • 客户端账号数量:客户端账号数规格。本示例使用默认值10

      该项表示系统允许在SAG APP实例下创建客户端账号的数量,一般每个连接内网的用户需要拥有一个账号。

      说明 系统默认支持购买5~1000个客户端,不同客户端账号数规格按阶梯计费。更多信息,请参见SAG APP计费说明
    • 每账号流量套餐:系统为每个客户端账号赠送的流量套餐规格。默认值为每月5GB

      系统赠送的流量多个客户端账号之间不支持共享,且不支持结算到次月。

    • 超套计费方式:每个客户端账号实际使用流量超过赠送的流量套餐后的流量计费方式。默认为按使用流量计费

      按使用流量计费为先使用后付费的计费方式。更多信息,请参见SAG APP计费说明

    • 购买时长:本示例使用默认值1个月

      购买时长按月计费,并支持自动续费。

步骤二:同步客户端账号

在您购买SAG APP实例后,您可以在IDaaS控制台添加智能接入网关应用,绑定要授权的SAG APP实例,然后为相关用户进行授权。授权后,IDaaS系统会为您在智能接入网关平台同步创建相同用户名的客户端账号。

  1. 添加智能接入网关应用。
    1. 登录IDaaS管理控制台
    2. 在左侧导航栏,单击EIAM实例列表
    3. 在顶部菜单栏,选择目标地域。
    4. 实例列表页面,单击已经创建的IDaaS实例ID。
    5. 在左侧导航栏,单击添加应用
    6. 在应用列表页面,找到阿里云智能网关,单击操作列的添加应用
    7. 添加应用(阿里云智能网关)页面,配置智能接入网关应用的信息,然后单击提交
      • 应用图标:您可以自定义智能接入网关应用的展示图标。

        单击上传文件,选择您本地保存的图片即可。

      • 应用名称:您可以自定义智能接入网关应用的名称。本示例使用默认值阿里云智能网关
      • appKey:输入您当前阿里云账号的AccessKey。
      • appSecret:输入您当前阿里云账号的AccessKey Secret。

        您可以在您当前账号的安全管理页面,查看您的AccessKey和AccessKey Secret信息。

        注意 由于云账号对名下资源有完全控制权限,AccessKey与登录密码具有同样的权力,AccessKey用于程序访问,登录密码用于控制台登录。为了避免因访问密钥泄露带来的信息泄露,不建议您创建云账号访问密钥并使用该密钥进行日常工作。

        您可以通过为RAM用户创建访问密钥,使用RAM用户进行日常工作。具体操作,请参见为RAM用户创建访问密钥

      • 网关区域:选择您想要授权的SAG APP实例所在的区域。本示例选择华东2(上海)

        请您先单击网关区域后面的查询,系统会根据您配置的appKeyappSecret信息自动帮您查询当前账号下可创建SAG APP实例的区域,然后您可以从网关区域后面的下拉列表中,选择目标区域。

        说明 如果您的SAG APP实例位于中国内地区域,该项请选择华东2(上海)
      • 网关信息:选择您要授权的SAG APP实例。本示例选择刚刚创建的SAG APP实例。
      • 账户关联方式:选择账户关联方式。本示例选择账户映射
        • 账户关联:系统按照子账户对应关系进行手动关联,适合用户已有应用账户的情况。
        • 账户映射:系统自动将主账户名称作为应用的子账户,适合用户没有该应用的账户的情况。
  2. 配置SCIM信息。
    在您添加智能接入网关应用后,您还需要为智能接入网关配置SCIM信息,为后续客户端账号同步做准备。关于如何配置SCIM信息,请提交工单至阿里云IDaaS团队。
  3. 为目标用户授权智能接入网关应用。
    1. 在左侧导航栏,单击应用授权
    2. 应用授权页面的应用授权主体页签下,单击目标应用。
    3. 在右侧的账户页签下,选中目标账户,然后单击保存
  4. 同步相关用户的账号信息至SAG APP实例。
    1. 在左侧导航栏,单击机构及组
    2. 机构及组页面的组织架构区域下,单击目标组织。
    3. 在右侧的账户页签下,找到目标账户,单击操作列下的账户同步
    4. 账户同步页面,您可以查看当前账户的同步状态。
      如果账户显示可以推送,则表示账号应用授权成功。请单击同步,同步完成后,IDaaS系统将在SAG APP实例创建相同用户名的客户端账号。IDaaS同步状态
    5. 查看已创建的客户端账号信息。
      客户端账号创建成功后,您可以在智能接入网关管理控制台查看已创建的客户端账号信息。
      1. 登录智能接入网关管理控制台
      2. 在左侧导航栏,选择智能接入网关APP > APP实例管理
      3. 在顶部菜单栏,选择中国内地区域。
      4. 智能接入网关APP页面,单击刚刚创建的SAG APP实例ID。
      5. 在SAG APP实例详情页面,单击客户端账号管理页签。
      6. 客户端账号管理页签下,查看客户端账号信息。

        客户端账号管理只显示您的用户名,您的密码默认不显示。

        客户端账号信息
    6. 查看阿里云网络客户端登录信息。
      客户端账号创建成功后,系统会向您发送邮件,其中包含已创建的客户端账号用户名、SAG APP实例ID、SAG APP实例企业码,以便您登录阿里云网络客户端。
      说明 只有配置了邮箱信息的账号,系统才会向其发送邮件。如果您的账号没有配置邮箱信息,请您登录智能接入网关控制台查看已创建的客户端账号用户名、SAG APP实例ID、SAG APP实例企业码。
      客户端账号创建通知

步骤三:配置云上网络连接

客户端账号创建完成后,您需要为SAG APP实例配置网络信息,方便客户端接入阿里云,进而连接企业内网。

  1. 为SAG APP实例进行网络配置。
    1. 登录智能接入网关管理控制台
    2. 在左侧导航栏,选择智能接入网关APP > APP实例管理
    3. 在顶部菜单栏,选择中国内地区域。
    4. 智能接入网关APP页面,找到刚刚创建的SAG APP实例,单击操作列下的网络配置
    5. 网络配置对话框,配置以下信息,然后单击确定
      • 实例名称/ID:系统自动选择当前SAG APP实例。
      • 云连接网:您可通过以下两种方式选择要绑定的云连接网。本示例选择新建CCN

        云连接网是智能接入网关产品的一个重要组成部分,将SAG APP实例关联到云连接网后,实例所关联的客户端便可以和云连接网中的其他资源互通。关于云连接网更多信息,请参见云连接网介绍

        • 选择现有CCN:如果您已经创建了云连接网实例,您可以单击下方文本框,选择已创建的云连接网实例进行绑定。
        • 新建CCN:如果您未创建过云连接网实例,您可以在下方文本框中,输入云连接网实例名称,系统会为您在当前区域新建云连接网实例并自动进行绑定。

          云连接网实例名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

      • 主备DNS:非必填参数。您可以自定义SAG APP实例客户端连接内网时使用的主备DNS配置。在您配置DNS后,系统会自动向客户端推送DNS配置。本示例无需填写。 关于主备DNS更多信息,请参见网络配置
      • 私网网段:配置客户端接入阿里云时使用的私网网段。客户端接入阿里云时系统会自动从私网网段内为其分配可用的IP地址。本示例输入192.168.1.0/24。

        单击新增私网网段添加更多网段,需要确保各私网网段不冲突,最多可配置5个私网网段。

  2. 配置云企业网。
    您需要将云连接网实例与云企业网CEN(Cloud Enterprise Network)实例绑定,绑定后云连接网实例所关联的网络便可与云企业网中已加载的云资源进行互访。关于云企业网更多信息,请参见什么是云企业网
    1. 在左侧导航栏,单击云连接网
    2. 云连接网页面,找到目标云连接网实例,单击绑定云企业网
    3. 绑定云企业网面板,配置以下信息。然后单击确定
      • 实例名称/ID:系统默认选择当前云连接网实例。
      • 绑定云企业网:您可以通过以下两种方式绑定云企业网。本示例选择新建CEN
        • 选择现有CEN:如果您已经创建了云企业网实例,您可以单击下方文本框,选择已创建的云企业网实例进行绑定。
        • 新建CEN:如果您未创建过云企业网实例,您可以在下方文本框中,输入云企业网实例名称,系统会为您新建云企业网实例并自动进行绑定。

          云企业网实例名称长度为2~100个字符,以大小字母或中文开头,可包含数字、下划线(_)或短划线(-)。

  3. 配置VPC实例。
    1. 您需要为VPC中的云服务器(ECS)实例配置安全组规则,允许客户端的私网网段192.168.1.0/24访问ECS中的资源。具体操作,请参见添加安全组规则
    2. 您需要将已经创建的VPC网络实例加载到新建的云企业网实例中,加入后,云连接网实例下的客户端便可以通过云企业网与云上VPC内的资源互通。具体操作,请参见加载网络实例

步骤四:连接企业内网

完成云上网络配置后,您可以下载安装阿里云网络客户端,连接企业内网。

  1. 下载安装阿里云网络客户端。关于如何下载安装阿里云网络客户端,请参见安装客户端
  2. 客户端安装完成后,您可以通过企业内部的用户名、密码、SAG APP实例企业码登录阿里云网络客户端,连接企业内网。
    连接内网