零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","短信认证")}}

短信认证

更新时间:2023-06-15

5.2.1.20.1.腾讯云短信认证

aTrust支持对接腾讯云短信认证平台,使用腾讯云短信网关发送短信。配置完成后可实现用户上线的二次认证、增强认证 和上线准入策略、应用防护策略的灰度处置认证等功能的辅助功能使用。

预置条件

  1. aTrust控制中心能正常上网或能访问到腾讯云短信平台。
  2. 腾讯云账号需要有足够的钱用于购买短信。
  3. 腾讯云在申请短信签名和短信模版需要通过官方审核,建议提前联系客户申请好。
  4. 获取腾讯云短信参数获取:签名名称、模板CODE等信息。

配置思路

  1. 在控制中心【系统设置/系统配置/短信网关】中点击<新增>按钮新增短信网关。
  2. aTrust平台对接腾讯云的配置界面,可知对接腾讯云短信认证,需在腾讯云短信平台上至少获取如下信息。

  1. 在控制中心[业务管理/认证管理/认证服务器]中点击<新增>按钮新增短信辅助认证。

表29腾讯云认证操作说明表

操作

说明

状态

设置腾讯云短信服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述,非必填项。

重新发送间隔

指的是多久后用户可以点击按钮重新发送短信。

验证码有效期

指的是收到短信后的多久时间内输入验证码都是有效的。

国家代码

填写国家的手机号码代号,中国默认86

短信发送提示

指的是短信的发送页面的提示。

模版ID

ID信息用于获取腾讯云短信模板信息,区分腾讯云短信平台上的不同短信认证模板。

短信签名

签名模版指的是在发送短信的时候会发送的内容中带上一个签名,例如【深信服科技】、【支付宝】、【腾讯 科技】等,用于标识是哪个企业发送的验证码。

模板参数

模版指的是发送短信的内容,根据类型不同,发送短信的资费也不同。模版内容即为短信内容,最终的短信内 容即为签名+模版内容呈现。

参照腾讯云控制台审核通过的短信正文模板,一行一个按顺序填写所需参数;例如:若腾讯云模板为: {1}为您的登录验证码,请于{2}分钟内填写。如非本人操作,请忽略本短信

则在模板参数中按顺序输入验证码和验证码有效期:

{{env.code}}

{{config.smsEffectiveTime}}

腾讯云地址

填写阿里云地址,默认会自动填写https://dysmsapi.aliyuncs.com

SDKAppID

调用腾讯云短信平台的API接口,是短信应用的唯一标识。

SecretKey

aTrust平台调用腾讯云短信平台API时,需使用这两个字段来生成签名信息,代表着该账号身份和拥有的权限。

SecretId

发送测试短信

对接完成后,可以使用此功能验证对接是否成功。

腾讯云各参数获取

获取短信签名

  1. 登录腾讯云,进入短信管理平台,在[国内短信/签名管理]点击<创建签名>,(如有已创建的签名模板,可直接使用)。

  1. 点击<确定>可完成配置,获取短信签名信息。

获取模板ID

  1. 进入短信管理平台,在[国内短信/正文模板管理]点击<创建正文模板>新增模板信息,完成模板名称和短信内容等信息的配置,如有已创建的可直接使用。

  1. 点击<确定>完成模板的配置,可在正文模板管理页面直接获取模板ID信息。

获取模板参数

  1. 在短信管理平台[国内短信/正文模板管理]审核通过的短信正文模板,一行一个按顺序填写所需参数。

  1. 若腾讯云模板为: {1}为您的登录验证码,请于{2}分钟内填写。如非本人操作,请忽略本短信则在模板参数中按顺序输入验证码和验证码有效期:

{{env.code}}

{{config.smsEffectiveTime}}

获取腾讯云地址

aTrust已内置腾讯云短信接口地址,可直接使用,地址获取信息如下。

获取SDKAppID

  1. 进入短信管理平台,在[应用管理/应用列表]点击<创建应用>或直接使用系统默认应用。

  1. 点击<创建>完成应用创建,可在页面上直接获取SDKAppID信息。

获取SecretKeySecretId

  1. 在腾讯云页面,点击用户。点击<访问管理>进入访问管理页面

  1. 在访问管理页面,在[访问密钥/API密钥管理]点击<新建密钥>或使用已创建好的密钥信息。

aTrust短信认证配置

  1. 登录aTrust控制台,在[系统管理/系统配置/短信网关]中新增短信网关,选择腾讯云短信认证。

  1. 服务器中的短信签名、模版IDSDKAppIDSecretIDSecretKey根据客户实际申请的情况获取并填写。

  1. 新增【短信网关】后,在【业务管理/认证管理/认证服务器】点击新增,在二次增强认证服务器中选择【短信认证】,选择配置好的短信网关。

  1. [业务管理/认证管理/认证策略]编辑用户的认证策略,开启用户二次认证功能。

  1. 用户通过主要认证如账号认证后,会进行二次认证,弹出输入短信验证码的框,借助阿里云/腾讯云发送短信到手机上后,既可填写到认证页面中,完成二次认证。
    1. 阿里云短信认证

aTrust支持对接阿里云短信认证平台,使用阿里云短信网关发送短信。配置完成后可实现用户上线的二次认证、增强认证 和上线准入策略、应用防护策略的灰度处置认证等功能的辅助使用。

预制条件

  1. aTrust控制中心能正常上网或能访问到阿里云短信平台。
  2. 阿里云账号需要有足够的钱用于购买短信。
  3. 阿里云在申请短信签名和短信模版需要通过官方审核,建议提前联系客户申请好。
  4. 获取阿里云短信参数获取:签名名称、模板CODE等信息。

配置指导

  1. aTrust平台对接阿里云的配置界面,可知对接阿里云短信认证,需在阿里云短信平台上至少获取如下信息。
  1. 在控制中心【系统设置/系统配置/短信网关】中点击<新增>按钮新增短信网关。
  1. 在控制中心[业务管理/认证管理/认证服务器]中点击<新增>按钮新增短信辅认证。

表30阿里云认证操作说明表

操作

说明

状态

设置阿里云短信服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述,非必填项。

重新发送间隔

指的是多久后用户可以点击按钮重新发送短信。

验证码有效期

指的是收到短信后的多久时间内输入验证码都是有效的。

国家代码

填写国家的手机号码代号,中国默认86

短信认证提示

指的是短信的发送页面的提示。

短信签名

签名模版指的是在发送短信的时候会发送的内容中带上一个签名,例如【深信服科技】、【支付宝】、【腾讯科技】等,用于标识是哪个企业发送的验证码。

模板CODE

模版指的是发送短信的内容,根据类型不同,发送短信的资费也不同,我们选择验证码类型即可。

模版内容即为短信内容,最终的短信内容即为签名+模版内容。

阿里云地址

填写阿里云地址,默认会自动填写https://dysmsapi.aliyuncs.com

AccessKeyID

aTrust获取阿里云短信API的密钥ID

AccessKeySecret

aTrust获取阿里云短信API的密钥Secert

发送测试

对接完成后,可以使用此功能验证对接是否成功。

获取短信签名

  1. 阿里云用户登录阿里云平台,进入短信控制台。

  1. 进入[短信服务/国内消息/签名管理]点击添加签名,或选择已有签名。此处举例新增签名。

  1. 签名模版指的是在发送短信的时候会发送的内容中带上一个签名,例如【深信服科技】、【支付宝】、【腾讯科技】等,用于标识是哪个企业发送的验证码。
  2. 添加签名模版选择通用场景需要上传企业资质等证件,具体可看阿里云的要求,需要提前准备,然后等阿里云审核通过即 可使用。

  1. 点击<确定>完成签名模板配置,可在签名管理页面查看短信签名名称。将这个签名记录下来,到第5步时,需要用到。

获取模板CODE

  1. 在短信服务管理平台,进入[国内消息/模板管理]点击〈添加模板〉,如有已创建好的模板可直接使用。

  1. 模版指的是发送短信的内容,根据类型不同,发送短信的资费也不同,我们选择验证码类型即可。 模版内容即为短信内容,最终的短信内容即为签名+模版内容,须通过阿里云平台审核。

  1. 获取模板CODE信息,在[国内消息/模板管理]点击模板详情获取CODE信息。

获取阿里云地址

  1. 在短信服务平台,点击<帮助文档>进入帮助文档页面,在API参考项点击选择<服务地址>可查看到阿里云平台短信地址信息。

获取AccessKeyIDAccessKeySecret

  1. 鼠标放在用户头像上,点击AccessKey 管理。

  1. 进入AccessKey 管理页面后,可点击<创建AccessKey>获取AccessKey IDAccesskey Secret信息,如有已创建的Accesskey可直接复用使用。点击对应的AccessKey ID详情获取IDSecret信息。

登录aTrust控制台,在【系统设置/系统配置/短信网关】中新增短信网关,选择阿里云短信网关

重新发送间隔:指的是多久后用户可以点击按钮重新发送短信

验证码有效期:指的是收到短信后的多久时间内输入验证码都是有效的

短信认证提示:指的是短信的发送页面的提示。

短信签名、模版CODEAccessKeyIDAccessKeySecret根据客户实际申请的情况获取。

阿里云地址默认自动填写,若阿里云地址变更也可手动修改。

  1. 新增【短信网关】后,在【业务管理/认证管理/认证服务器】点击新增【短信辅认证】,选择配置好的短信网关。

  1. [业务管理/认证管理/认证策略]编辑用户的认证策略,开启用户二次认证功能。

  1. 用户通过主要认证如账号认证后,会进行二次认证,弹出输入短信验证码的框,借助阿里云/腾讯云发送短信到手机上后,既可填写到认证页面中,完成二次认证。
    1. 自定义HTTP(S)短信认证

短信认证 ,通过绑定手机号接收短信验证码的认证手段。现阶段短信验证认证可以用于辅助认证和主认证,在用户登录时与LDAP/AD认证服务器、CAS认证服务器、OAuth2.0票据认证服务器和本地认证等配合使用,可根据用户性质创建不同的认证策略,实现用户灵活认证。
在控制中心[业务管理/认证管理/认证服务器]中点击<新增>按钮新增HTTP(S)短信认证。

表31HTTP(S)短信认证操作说明表

操作

说明

状态

设置HTTP(S)短信服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述,非必填项。

重新发送间隔

指的是多久后用户可以点击按钮重新发送短信。

验证码有效期

指的是收到短信后的多久时间内输入验证码都是有效的。

自定义请求变量

可通过nodejs脚本来自定义新的模板变量在请求配置中使用。

请求地址

配置HTTP(S)短信的请求地址,支持GETPOST方式。

请求超时

设置认证的超时时间,在设置时间内短信服务器未回复则认证失败。

请求设置

根据HTTP(S)短信接口构造HTTP(S)请求头部、请求URL参数、请求Cookie、请求体信息。

响应配置

可通过nodejs脚本来自定义新的模板变量在响应配置中使用,自定义脚本仅支持解析JSON格式。

解析格式:选择返回字段是使用XMLJSON格式。

认证成功条件

设置返回参数中哪个字段代表认证成功。

短信发送提示

指的是短信的发送页面的提示。

配置案例

例如:对接深信服云图短信,配合本地认证做用户登录的二次认证。
预制条件

aTrust控制器SDPC与代理网关Proxy对接成功。

已对接第三方认证服务器或存在本地用户。

已获取了短信认证服务器API接口文档。

  1. 登陆SDPC,进入【系统设置/系统配置/短信网关】点击《新增》短信网关。
  1. 获取深信服云图短信的对外API接口文档,根据接口文档信息和aTrust短信配置的要求进行配置。

  1. 完成请求配置和响应配置填写。


  1. 新增【短信网关】后,在【业务管理/认证管理/认证服务器】点击新增【短信辅认证】,选择配置好的短信网关。

  1. [业务管理/认证管理/认证策略]编辑用户的认证策略,开启用户二次认证功能。
  2. 浏览器输入客户端接入地址,用户使用主认证的账号密码登录,主认证通过后,再进行短信认证(辅认证),输入短信验证吗后用户登录成功。

5.2.1.20.4.短信主认证

aTrust支持对接短信认证平台,使用短信网关发送短信作为用户首次认证的方式。

预制条件

aTrust控制中心能够访问配置好的短信网关服务器。

短信网关具备足够的短信条数。

配置指导

  1. 在控制中心【系统管理/系统配置/短信网关】处完成短信网关配置(具体配置请参考5.2.1.21-5.2.1.23章节)。
  2. 在控制中心【业务管理/认证管理/认证服务器】点击新增,在主认证服务器中选择短主认证。

  1. 用户在浏览器打开登陆页面后,选择配置好的短信主认证即可完成登录。