更新时间:2023-07-03
认证服务器用来设置第三方认证服务器的信息,设备支持定义短信、微信、访客二维码、会议室二维码、LDAP、RADIUS、POP3、OA账号、社交账号、数据库、H3C CAMS、第三方认证系统共12种认证服务器。
设备上使用对应的认证方式,则需要在这个页面添加对应的认证服务器,下面章节针对每种服务器做配置介绍。
6.2.1.2.1.短信认证
当使用短信认证方式时,会通过AC设备接的HTTP协议、外部服务器短信平台、短信平台、短信猫来发送验证短信给用户,用户通过输入手机收到的短信验证码认证上线。短信认证的前提是需要在外部认证服务器页面添加短信服务器,并配置正确的参数,才能认证。
使用场景
当某个单位的人员来上网需要实名制认证时,希望上网行为的日志能追溯到具体用户。可以通过短信认证的方式让访客上网前需要输入手机号和验证码验证,并将手机号作为用户名来登录上网。测试前确保AC能访问互联网。
配置思路
- 先配置短信通知服务器(以下以HTTP为例);
- 配置短信认证服务器;
- 配置短信认证策略。
操作步骤
第一步:先配置短信通知服务器(以下以HTTP为例)。
步骤1.设置短信通知服务器,在[系统管理/系统配置/高级配置/通知设置],点击<新增短信通知服务器>,勾选启用,可启用短信通知服务器。
步骤2.填写名称为:测试短信验证,网关类型:选择HTTP协议,发送短信国家码,根据需求勾选,页面编码默认即可。
• URL地址:通过用户给予的文档,如深信服云图平台:https://x.sangfor.com.cn/scl/v1/sms/send(后续可参考短信平台提供的接口文档)。
• SOAP版本/请求类型:根据短信平台提供的接口文档(或者咨询第三方),确认使用的SOAP的版本(SOAP1.1或SOAP1.2)与请求类型(POST或GET)。
步骤3.配置短信模板,去云图平台获取参数,填写到account和password字段。接口名称和接收模板的参数,可根据自定义设置,点击<确定>配置完成。
请求模板参考:{"account":"CSKIfiKfaKemFkE9","password":"9Dww4Cfr5VtArXFrWQ5ui4BZzPhNMvIJhm","phone":"$$MOBILE_NUM$$","content":"$$SMS_CONTENT$$ "}
步骤4.对接云图平台,需先找到一台云图设备。登录设备,进入到[产品服务]章节,找到短信云。
步骤5.点击<立即进入>,跳转到短信云界面,然后点击<服务配置>章节,选择当前最新的密钥,在操作栏选择查看密码。获取到密钥ID和密码,填到短信模板的对应参数值即可。
步骤6.在[系统管理/系统配置/高级配置/通知设置],点击<短信通知配置>,短信平台服务器选择刚配置好的“测试短信验证”策略,内容可以自定义设置或者默认,自注册审批和新终端审批通知可根据需求自定义选择即可。
步骤7.返回步骤1,点击<测试有效性>,发送一条测试短信看下能否发送成功,发送成功后,在云图短信平台的[短信发送记录查询]看到已经发送成功的手机号码的记录。
第二步:配置短信认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/认证服务器/短信认证],点击新增<短信认证>,名称输入名称。
步骤2.短信平台选择前面配置的短信通知服务器,短信内容默认即可,根据需求是否启用“已认证用户自动绑定MAC并认证”,配置完成点击<提交>。
步骤3.短信内容:用户设定需要发送短信验证的内容。验证码有效期为10分钟。
步骤4.点击<恢复初始内容>,可以将自定义短信的内容恢复为默认值。
步骤5.已认证用户自动绑定MAC并免认证的有效期:在设置的天数内不需要重新认证。
:
当用户在某台终端通过短信认证成功过一次后,设备记录其登录信息,并自动绑定用户和MAC地址,在同一终端下次再接入网络时,自动通过其认证,而无需重复认证。
步骤6.认证过程:终端接入网络,打开网页,进行短信认证。
第三步:配置短信认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认范围,选择设备:默认所有;适用范围:192.168.1.0/24。
步骤3.设置认证方式,认证服务器选择短信测试模板,其他选项默认即可。
步骤4.设置认证后处理,选择使用“访客”组上线,其他选项默认,则短信认证成功后使用访客组的权限上网。点击<提交>完成配置。
步骤5.当终端需要上网时,会重定向认证页面。
步骤6.短信模块会向填入的手机号码发送短信验证码,手机收到验证码后,填入验证码,点击<登录>即可通过认证。
6.2.1.2.2.微信认证
当用户使用这种认证方式时,需要通过微信进行认证。微信认证的前提是需要在[认证服务器]页面,添加微信服务器,并配置正确的参数,点击<新增>,选择微信认证。
提供“下载微信认证部署说明文档及示例代码”。
• 名称:设置微信服务器的名称。
• 公司英文名称简称:用于标识用户的唯唯一性,用来判断用户关注的微信公众号是否正确,填写用户英文名称或中文拼音,并以此来填写部署在第三方服务器config.php文件中的SALT字段。
• 启用“点一点”上网方案:这种方案的认证过程是:终端用户关注微信号后,点击[我要上网]或发送字母“W”即可通过认证。
“点一点”上网部署方式,有以下两种部署方式:
方式一:需要服务器部署代码(支持服务号和订阅号)。
此种方式需要启用微信公众平台的“开发模式”,使用自身或租用的服务器部署代码响应微信的各种消息事情。具体的部署说明和代码示例在“示例代码中”可下载。
方式二:不需要部署代码(支持服务号和订阅号)。
配置第三方平台对接项:不需要部署Sangfor代码,从URL参数或cookie参数中提取用户的id,不做校验;此方式通常适用于微信服务商,例如微盟、微购,它们一般不能修改服务代码,但又能从URL参数或cookie中提取用户ID,就需配置第三方服务平台对接选项。具体的配置方法,提供“<与第三方服务平台对接-开发者文档>”下载。
启用“微信连wi-fi”上网方案:2019年08月19日起,“公众号连Wi-Fi”暂停微信Portal鉴权连网方式,不再提供wifi关联公众号的功能配置后台及接口,回收第三方平台微信连Wi-Fi权限集。微信官方通知:微信连Wi-Fi功能调整通知,本手册不再赘述。
6.2.1.2.3.访客二维码认证
访客二维码认证在外来访客场景下,访客在得到内部员工的审批后才能正常访问互联网,给访客带来良好体验的同时,内部也能对外来访客进行有效的管理,推荐采用访客二维码认证方式,让内部员工对每位访客的二维码进行扫码,从而满足该场景。
适用场景
• 访客填写信息,担保人扫码:需要采集访客的信息,担保人扫码后看到访客的信息属实后,批准上网。
• 担保人扫码,访客直接以担保人身份上线:无采集客人信息的需求,但是想赋予访客担保人的权限,选择这种方式。
• 担保人扫码,并备注访客信息:不需要访客做其他操作,信息填写由内部员工完成,并在在线用户可以看到具体的担保人的信息,选择这种方式。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器],点击新增[访客二维码认证]服务器,勾选启用,填写名称。
步骤2.选择担保人:担保人指的是有审核权限的用户或组,如果选择的是组,则该组下所有用户都有审核权限。
步骤3.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤4.设置认证范围:访客网段:192.168.10.1-192.168.10.254。
步骤5.设置认证方式,选择密码认证,认证服务器选择访客二维码。
步骤6.认证后处理,选择认证上线的组,点击<提交>即可。
认证后效果:
访客填写信息,担保人扫码
- 选择此认证方案:访客电脑或移动终端使用浏览器访问网页,访客填写信息—生成二维码—担保人扫码审核—审核允许后客户端通过认证并上线。
- 在二维码认证页面填写个人信息,点击<下一步>。
- 客户端生成二维码。
- 内部已经上线成功的担保人用手机扫描二维码,看到访客信息,进行审核。
- 审核通过后。
- 访客终端,返回认证成功。完成认证,可以访问网络,设备在线用户管理,看到上线用户信息。
担保人扫码,访客直接以担保人身份上线
- 选择此认证方案:访客电脑或移动终端使用浏览器访问网页,重定向到二维码认证页面,直接生成二维码,内部担保人扫描审核,完成认证。
- 访问网页生成二维码。
- 内部已经上线成功的担保人用手机扫描二维码。
- 完成认证,可以访问网络。
- 设备在线用户管理,看到上线用户信息,但这种方式是无信息项填写的,所以无法获取到用户名,以IP地址做用户名上线。
担保人扫码,并备注访客信息
- 选择此认证方案:访客电脑或移动终端使用浏览器访问网页,重定向到二维码认证页面,内部担保人扫描二维码填写信息,提交完成认证。
- 访问网页生成二维码。
- 担保人扫描后,在审核页面填写个人信息,点击<下一步>。
- 内部已经上线成功的担保人用手机扫描二维码,完成认证。
- 设备在线用户管理,看到上线用户信息,这种方式可以看到审核人的信息。
- 信息项设置可以看到有两种认证方式,右上角有信息项设置,这个地方的作用是,管理员提前设置要求访客填写的信息。
- 鼠标放置在“信息项设置”处,点击跳转到信息项设置。
- 进行新增访客填写的配置项:内容项是预设的,点击<新增>会跳转到[认证高级选项/自定义属性],进行新增即可。
- 会议室二维码认证
会议室二维码认证可实现对于会议室开会上网体验,小范围上网体验或私密体验。当用户接入网络上网,不希望被外人获知上网方法,推出了会议室二维码认证方式,实现需求。支持实名认证场景和不实名认证场景。
实现过程大致如下:
- 用户端提供“二维码ID”(通过手动填写/扫码识别)。
- AC设备通过二维码ID查找服务器,读取服务器的配置,返回信息项让用户填写。
- 用户端填写信息项,提交,上线。
- 会议室二维码认证服务器配置页面。
• 名称:设置会议室二维码服务器的名称。
• 用户上线组:通过会议室二维码认证后用户上线到具体的组。
• 二维码设置:会议室二维码是可以张贴在会议室的,因此需要进行配置。
• 二维码名称:给会议室二维码取一个名字;“二维码ID”:设置一个ID,便于不能扫描的PC端输入ID接入网络;
• 最大上线人数:会议室或小范围的人数是有限的,对人数进行限制可以有效的管理;
• 有效期:二维码有效期可以定义为“永不过期”或“指定过期时间”;
• 开启手机号实名认证:会议室二维码如果有实名制的需求,结合手机号做实名认证。
:
开启手机号实名认证功能需要在[系统管理/系统配置/高级配置/通知设置]的短信通知服务器。
不实名认证场景
第一步:配置会议室二维码认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器],点击新增<会议室二维码认证>服务器,勾选启用,填写会议室名称。
步骤2.二维码设置,根据需求设置二维码名称、二维码ID、最大上线人数、有效期等信息,可选择是否开启手机号实名认证。访客信息项设置可根据需求设置用户名或者其他信息都可以。
步骤3.完成配置后,点击提交就会生成二维码,或点击<会议室二维码管理>,找到对应项下载,且打印粘贴到会议室的位置。后续维护也在会议室二维码管理中。
第二步:配置会议室二维码认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认证范围,选择设备:默认所有,适用范围:192.168.25.0/24。
步骤3.设置认证方式,认证服务器选择会议室二维码,其他选项默认即可。
步骤4.认证后处理,默认即可,点击<提交>完成配置。
步骤5.终端通过AC上网,会重定向认证页面。
步骤6.移动端和PC端效果展示。
- 移动端:手机扫描会议室张贴的二维码,输入信息项,点击<确定>提交。
- 完成认证,在设备上线。
- PC端:浏览器访问网页,跳转到认证页面。
- 输入会议ID:0。
- 输入个人信息完成认证,跳转到认证前访问页面。
- 设备在线用户列表看到用户上线。
实名认证场景
第一步:配置会议室二维码认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器]点击新增<会议室二维码认证>服务器。
步骤2.勾选“开启手机号实名认证”后,强制手机号做用户名,完成配置后:生成二维码,可以下载打印粘贴在会议室
步骤3.完成配置后,点击<提交>就会生成二维码,或点击<会议室二维码管理>,找到对应项下载,且打印粘贴到会议室等位置。后续维护也在会议室二维码管理页面进行。
第二步:配置二维码认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认证范围,选择设备:默认所有,适用范围:192.168.10.0/24。
步骤3.设置认证方式,认证服务器选择会议室二维码,其他选项默认即可。
第三步:短信通知服务器配置
此场景需要配合短信通知,进行实名制验证,需要先配置[系统管理/高级配置/通知设置/短信通知服务器],确保用户可以收到短信验证码。
第四步:移动端和PC端效果展示。
- 移动端:手机扫描粘贴在会议室的二维码,输入手机号和信息,完成认证。
- 设备在线用户列表看到用户以手机号上线。
- PC端:访问网页,重定向到认证页面,输入ID。
- 输入手机号和验证码等相关信息点击<提交>,完成认证,跳转到认证前访问页面。
- 设备在线用户列表看到用户以手机号上线。
6.2.1.2.5.LDAP服务器
场景案例
在客户内网已经部署了LDAP服务器的情况下再部署AC,管理员希望内网用户能够使用现有的LDAP账号密码通过AC的身份认证策略,无须为内网用户在AC上再创建一套账号,从而避免用户在原有LDAP账号的基础上再记忆一套新账号和密码。
配置步骤
本次以Microsoft Active Directory作为外部LDAP服务器示例。
步骤1.在AC上配置外部认证服务器。在[接入管理/接入认证/PORTAL认证/认证服务器]界面配置外部认证服务器,点击<新增>按钮选择[LDAP服务器]。
步骤2.配置LDAP服务器相关参数。在[服务器名称]栏定义外部认证服务器的名称,在服务器类型:选择MS Active Directory(视实际情况选择对应的类型)。
• IP地址:填写LDAP服务器的IP地址。
• 认证端口:LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。
• 超时:设定认证请求的超时时间。当AC把认证请求转发到LDAP服务器后,如果超过这个时间无回应,则视为认证失败,如果AC到LDAP服务器间的网络比较慢,可尝试把超时时间延长(例如10秒)。
• 匿名搜索:如果LDAP服务器支持匿名搜索时,则可以使用此选项。
• 管理员账号:AC将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。
以MS Active Directory为例:账号为administrator域名为:damian.com,那么填写administrator@damian.com 。该账号拥有查询及同步AD域账号的权限(Domain Admin),并非一定要administrator账号。
• 管理员密码:管理员账号对应的密码。
• 开启加密:当LDAP服务器启用SSL/TLS加密后AC对接时也需要开启加密。且开启加密后认证端口需要更改。AD域使用SSL加密时默认为636。
• 校验证书:校验证书的合法性。如果LDAP服务器需要校验证书,请配置域名且AC能够访问到该域名。(在[系统管理/网络配置/高级设置/Hosts]里填写该域名解析到的IP)
• BaseDN:指定域搜索路径的起点,该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外,则该用户无法做外部服务器认证,所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。
步骤3.测试连通性。点击<测试有效性>后可以测试以当前的配置对接LDAP服务器是否成功。
• 修改密码:以AD域为例:如果在AD域上创建域账号时选择了“初次登录修改密码”,那么可以直接在这里修改密码。
• 账户有效性:测试AC设备与LDAP服务器通信是否正常,校验LDAP用户账号是否有效。
步骤4.测试类型相关信息填写后,点击<测试有效性>即可验证当前配置是否有效。
步骤5.编辑同步配置和高级选项。(如果无特殊需求请保持默认值)
• 用户属性:指定LDAP服务器上,唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户,而在Novell LDAP上uid属性标识了用户。
• 显示名属性:指定LDAP服务器上,唯一标识用户显示名的属性字段。例如AD域上displayName属性标识了用户的显示名。
• 描述属性:指定LDAP服务器上,唯一标识用户描述的属性字段。例如AD域上description属性标识了用户的描述。
• 用户过滤:指定LDAP服务器的用户过滤条件,即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。
• 组织单位过滤:指定LDAP服务器的组织单位过滤条件,即通过这条件可以确定某个节点是否为组织单位。
• 例如AD域上可以通过填写(|( objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))来过滤某个节点是否为组织单位。
• 安全组过滤:指定LDAP服务器的(安全)组过滤条件(注:对于AD域而言,这里是安全组,对于非AD域而言,这里是group),即通过这条件可以确定某个节点是否为(安全)组,例如AD域上可以通过填写“(objectClass=group)”来过滤某个节点是否为安全组。
• 安全组成员属性:指定AD域服务器上哪个属性标识了安全组的成员列表,该属性只有LDAP服务器为AD域的时候生效。该字段如没有特别情况,一般填写member即可。
步骤6.当服务器类型选择“MS Active Directory”时上面这些参数是设置好的,一般采用默认参数即可,如果服务器是其他类型的LDAP,则需要根据实际情况调整,以便设备能读取到LDAP上正确的信息。
• 启用安全组实时更新:勾选该功能后AC将实时请求LDAP服务器,将所需同步的内容同步到本地,会对LDAP服务器性能增加压力。本选项只对AD域生效。
• 设置安全组和用户的关联方式:此处建议使用默认配置。
• 关联方法:可以选择“用户找组(推荐)”或“组找用户”。如果LDAP服务器上,用户存在某个属性保存了其所属组,这时可以选择"用户找组(推荐)",因为这种方式将会提供更好的性能,同时减少LDAP服务器的性能压力。如果LDAP服务器上,用户和组之间没有相互保存的信息,只有组保存了所属用户,这种情况需要勾选“组找用户”。
• 关联属性:如果选择了“用户找组(推荐)”模式,该字段需要填写LDAP服务器上组或者用户保存其父组的属性。例如AD域上memberOf属性标识了某个节点的父组,所以搜索的时候,将使用memberOf属性来搜索其父组。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子用户的属性。例如AD域上member属性标识了某个组的子用户,所以搜索的时候,将使用member属性来搜索某个组的子用户。
• 支持安全组嵌套:该复选框决定了配置(安全)组的时候,是对该组下的用户生效,还是对该组下的用户以及子组都递归生效。勾选该字段以后表示对应(安全)组的用户以及子组都递归生效;如果不勾选,则表示仅对配置的(安全)组下直属用户生效,忽略所有子组。
• 嵌套属性:嵌套属性只有在勾选了“支持安全组嵌套”以后才可以填写。该选项表示递归查找的时候需要搜索的组使用哪个属性来标识。如果选择了“用户找组(推荐)”模式,该字段只需要和“关联属性”保持一致即可。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子组的属性。例如AD域上member属性标识了某个组的所有子组,所以搜索的时候,将使用member属性来搜索某个组的所有子组。
• 分页搜索:使用扩展API对LDAP服务器进行搜索,建议保留默认配置。
• 页面大小:LDAP分页时返回的大小,0表示无限制,建议保留默认配置。
• 大小限制:同步LDAP时的size limit选项,这里建议保留默认配置。
步骤7.在AC上配置认证策略。在[接入管理/接入认证/PORTAL认证/认证策略]界面,点击<新增>按钮新建一条Portal认证策略。
• 认证范围:按实际需求配置策略生效的IP地址范围。
• 认证方式:选择密码认证,并在认证服务器栏勾选已配置好的LDAP服务器。
其他的功能项按需配置即可,最后提交并保存配置。
步骤8.在PC的认证界面使用LDAP服务器存储的用户名密码认证,在AC上查看该用户能否成功入网。
6.2.1.2.6.Radius服务器
用户使用Radius第三方认证时,都需要在[外部认证服务器]页面先添加对应的Radius服务器,并设置相关信息。
• 服务器名称:用于设置Radius服务器名称。
• IP地址:填写Radius服务器的IP地址。
• 认证端口:设置Radius服务器的认证端口,默认是1812。
• 超时时间:设置认证请求的超时时间。
• 共享密钥:设置Radius协商密钥。
• 采用协议:设置Radius协商协议,不加密的协议PAP、质询握手身份验证协议、Microsoft CHAP、Microsoft CHAP2、EAP_MD5。
• 编码:支持选择UTF-8或GBK编码格式。
6.2.1.2.7.POP3服务器
内网用户使用POP3单点登录的认证方式时,需要在[外部认证服务器]页面先添加对应的POP3服务器,并设置相关信息。
服务器名称:填写POP3服务器名称。
POP3服务器配置:用于设置POP3服务器的IP地址、认证端口和超时时间。
6.2.1.2.8.OA账号认证
现在企业微信、阿里钉钉和口袋助理在企业里使用越来越普遍,使用企业微信的用户在企业微信里相当于已经有一套完整的组织结构和认证体系,希望AC可以借助企业微信实现上网的认证。AC提供和企业微信结合认证的方式来完成认证,上网的时候弹出二维码,通过手机微信进行扫码授权,实现认证。在手机端,弹出认证页面,直接拉起微信进行授权认证。
Oauth2.0认证方式的应用,AC内置OA账号认证支持企业微信、阿里钉钉和口袋助理三种认证方式。
企业微信认证
企业微信参数配置流程:
- 登录企业微信管理后台;
- 选择“我的企业”,获得企业ID,填入appid栏;
- 选择“应用与小程序”;
- 获取AgentId、secret,分别填入企业id,appsecret。
步骤1.配置开发者平台, 登录企业微信管理后台:
https://work.weixin.qq.com/wework_admin/loginpage_wx?redirect_uri=https://work.weixin.qq.com/wework_admin/frame#profile
步骤2.选择“我的企业”,获取企业ID,填入AC设备认证服务器的AppID栏。
步骤3.选择“应用与小程序”,自建中点击“创建应用”,应用名称填“我要上网”。
步骤4.点击进入“我要上网”。
步骤5.获取AgentId、secret分别填入AC设备认证服务器的企业id栏和Appsecret栏。
步骤6.点击进入“网页授权及JS-SDK”,填入“oauthservice.net”。
步骤7.启用“企业微信授权登录”,填入授权回调域名“oauthservice.net”。
步骤8.启用“工作台应用主页”,填入:
https://open.weixin.qq.com/connect/oauth2/authorize?appid=ww9c6d66e15efc420c&redirect_uri=http%3A%2F%2Foauthservice.net%2Fac_portal%2Foauth_callback.html&response_type=code&scope=snsapi_base&state=qywechat-#wechat_redirect ; 其中AppID替换为步骤1获取的AppID。
步骤9.勾选“在微工作台中始终进入主页”。
步骤10.企业微信配置参数获取完成,在[接入管理/接入认证/认证服务器],点击<新增>[OA账号认证/企业微信],勾选启用,填写名称、描述。
步骤11.对接参数设置根据前面步骤获取填入。
步骤12.在[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的企业微信服务器,点击<提交>,完成配置。
步骤13.效果呈现:PC端效果,点击认证方式图标。
步骤14.手机端跳转到二维码扫描页面,使用手机企业微信扫描二维码(手机不必要接入网络)。
步骤15.手机企业微信扫码认证后,跳转到访问前页面。
步骤16.在[全网监控/入网用户管理]可查看通过认证用户列表。
移动端效果:手机接入wifi后,用浏览器打开一个页面,重定向到认证页面,点击企业微信认证,跳转到登录失败页面,并提醒在企业微信客户端内完成认证。
手动进入企业微信App,点击下方导航栏的“工作台”,拉倒最下面,看到“我要上网”点击,完成认证。完成后,可以上网。
阿里钉钉认证
钉钉认证配置流程:
- 阿里钉钉认证开发平者平台配置;
- AC认证配置;
- 效果演示。
配置步骤
步骤1.登录首页获取企业ID信息。
步骤2.在“应用开发”标签下进入“移动应用接入”,点击“登录”;创建扫码登录认证授权。
步骤3.名称:自定义,例如AC上网认证;描述:自定义,例如AC上网认证。
授权LOGO地址:无特殊作用,可以任意填写,https://img.com
回调域名:AC设备的钉钉认证回调地址, http://oauthservice.net/ac_portal/oauth_callback.html
步骤4.创建成功。
收集钉钉上的appID和appSecret,该信息主要用于AC认证的回调。本例中:
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
步骤5.在“应用开发”标签下进入“企业内部开发”,点击“H5微应用”;创建AC对接授权
• 应用名称:自定义,例如AC对接授权
• 应用描述:自定义,例如AC对接授权
• 开发方式:企业自助开发
步骤6.创建H5微应用成功后,点击应用,在应用的“凭证与基本信息”->“应用凭证”中收集应用的appkey、appsecret,本例中:
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
步骤7.在H5微应用中,“开发管理”设置上网行为管理的互联网出口地址。
• 开发模式:开发应用
• 服务器出口IP:该地址为AC设备自身出去上网的互联网IP地址
• 应用首页地址:自定义,例如https://www.dingtalk.com
步骤8.在H5微应用配置AC用户认证的范围和用户认证所需的权限,在“权限管理”模块,添加接口权限,需要新增:通讯录只读和通信录编辑权限,邮箱等信息可选。
如上步骤整理完成之后收集信息如下,配置到AC设备钉钉对接认证模块即可:
CorpId:dingf8e689809c2fc7a44ac5d6980864d335
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
步骤9.认证服务器配置:只需要填写appid、appsecret参数和企业ID;如果有获取组织结构需求,勾选“自动获取用户所属组”配置起始路径、appkey和appsecret。
步骤10.在[用户认证与管理/用户认证/认证策略],新增认证策略,填写认证范围,引用配置好的阿里钉钉认证服务器。
注意事项:
钉钉认证属于第三方认证,用户以oauth认证方式上线,默认以钉钉的用户名为登录名,钉钉的用户名和本地用户的登录名不能发生冲突。
步骤11.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的阿里钉钉认证服务器,点击<提交>,完成配置。
步骤12.效果呈现:PC端效果:点击认证方式图标。
步骤13.使用手机阿里钉钉扫描二维码登录(手机不必须要接入网络)。
步骤14.手机钉钉扫二维码完成认证,跳转到访问前页面。
步骤15.移动端效果:手机接入WIFI后,用浏览器打开一个页面,重定向到认证页面,点击钉钉认证,唤起阿里钉钉app,在app完成登录后,完成认证。
步骤16. 完成认证后,在线用户列表看到上线情况。
口袋助理认证
口袋助理未提供对外的开发者平台,有认证需求联系深信服售后400或区域获取参数;
步骤1.在AC上配置OA账号认证服务器,服务器参数需在第三方平台注册授权应用获取,禁用自动获取用户所属组;
步骤2.对口袋助理的登录域名加入全局排除地址(认证前流量未放通)。
步骤3.认证过程:根据认证策略配置,认证页面提供OA账号认证方式供用户选择。
步骤4.用户选择认证方式后,跳转到OA账号认证页面完成认证。
步骤5.认证完成后认证平台会通过在平台填写的URL参数回调给AC,AC可获取用户在第三方平台的认证信息,在AC上登录上线。
步骤6.认证后效果:在线用户所属组即[认证策略/认证后处理/非本地/域用户使用该组上线]配置的组。
步骤7.移动端效果:口袋助理与另外两个不同的是不需要拉起app,浏览器访问网页点口袋助理认证图标跳转到口袋助理登录页面,输入手机号和密码即可完成认证。
6.2.1.2.9.社交账号认证
国外很多网站使用Facebook账号、Twitter账号、Google账号登录。这种社交账号对用户来说非常方便,不需要注册账号即可登录。AC在公共上网场景里也面临类似需求,用户希望能用社交类账号进行认证,特别是在海外,Facebook账号、Twitter账号、Google账号登录非常方便,满足公共上网场景里使用社交账号的需求。设备支持结合Facebook、Gmail、Line、Twitter这四种社交账号实现认证。
[接入管理/接入认证/PORTAL认证/认证服务器],点击新增<社交账号认证服务器>。
Facebook账号认证
步骤1.配置开发者平台,Facebook开发者应用注册网址:https://developers.facebook.com
步骤2.Add New App,填入名称和邮箱。
步骤3.进入Setting选择Basic,获取AppID 和AppSecret填入appid、appsecret中。
步骤4.填入Privacy Policy URL:Privacy URL意思是填自己公司的主页之类的,实际上这个参数在Oauth认证里面用不到,随便写一个URL也可以。
步骤5.添加“Facebook Login”产品,选择“Web”。
步骤6.进入设定,填入Valid OAuth Redirect URIs:
https://oauthservice.net:444/ac_portal/oauth_callback.html(在AC控制台复制)。
步骤7.最后,填上隐私策略网址,然后点击对外开放。
步骤8.社交账号认证(FaceBook)服务器配置,策略名称和Appid和AppSecret参数。
步骤9.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的facebook认证服务器,点击<提交>,完成配置。
步骤10.效果呈现,点击认证方式图标。
步骤11.输入facebook的用户名密码。
步骤12.完成认证效果。
步骤13.在线用户显示上线情况。
Gmail账号认证
步骤1.配置开发者平台:登录google开发者平台:https://console.developers.google.com
步骤2.进入凭据,创建凭据,选择“Oauth客户端ID”。
步骤3.选择“网页应用”,填入已获授权的重定向URI:
http://oauthservice.net/ac_portal/oauth_callback.html(建议在AC后台直接复制重定向url)。
步骤4.点击库, 在API库中选择“Gmail API”,点击<启用>。
步骤5.认证服务器配置,需要填写名称和描述appid和appsecret参数将创建后的用户端ID,用户端密钥填入appid,appsecret。
步骤6.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Gmail认证服务器,点击<提交>,完成配置。
步骤7.效果呈现,点击认证方式图标。
步骤8.输入账号密码,点击<提交>。
步骤9.完成认证,跳转到访问前页面。
步骤10.在线用户上线情况。
Line账号认证
步骤1.登录Line开发者平台:https://developers.line.biz/console/。
步骤2.进入providers点击,Create New Provider,按照指引完成provider创建。
步骤3.进入创建的provider,点击create channel,选择LINE Login,按照指引完成channel创建。
步骤4.点击进入新建的channel,在channel setting下获取Channel ID、Channel secret 填入appid、appsecret中,并勾选App type下LINE Login(NATIVE_APP), LINE Login(WEB)。
步骤5.在App Setting下设置填入Callback URL,可在AC控制台复制。
步骤6.将channel 状态改为published。
步骤7.AC认证配置:认证服务器配置:只需要填写AppID和AppSecret参数。
步骤8.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Line认证服务器,点击<提交>,完成配置。
步骤9.效果呈现,点击认证方式图标。
步骤10.点击line图标跳转到登录line页面,输入账号密码。
步骤11.认证成功后,跳转到认证前访问页面。
步骤12.设备在线用户上线。
Twitter账号认证
步骤1.登录twitter开发者平台:https://developer.twitter.com/en/apps
步骤2.进入点击detail进入app。
步骤3.点击“Keys and tokens”获取应用参数。
步骤4.AC认证配置:认证服务器配置:填写参数。
步骤5.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Twitter认证服务器,点击<提交>,完成配置。
步骤6.效果呈现:点击认证方式图标。
步骤7.输入Twitter账号完成认证。
步骤8.认证后,正常使用Twitter。
步骤9.在线用户上线。
6.2.1.2.10.数据库服务器
内网用户使用数据库单点登录的认证方式时,需要在外部认证服务器页面先添加对应的数据库服务器,并设置相关信息。
勾选启用该外部认证服务器,该功能才会生效。
• 服务器名称:定义方便区分的服务器名称。
• 数据库类型:择数据库的类型,支持DB2,ORACLE,MS SQL和MYSQL。
• 服务器地址和端口:写数据库服务器的地址和数据库监听端口。
• 数据库编码:选择数据库的编码类型,提供UTF-8、GBK、BIG5三种选择。
• 用户名:填写数据库的用户名。
• 密码:填写数据库的密码。
• 数据库名:写数据库名称。
• 超时:设备连接数据库服务器取数据时,多久没有返回数据则视为超时,默认值60s,可根据服务器的负载和用户数酌情调整。
• 测试有效性:测试设备跟服务器的连通性及上述配置的有效性。
6.2.1.2.11.H3C CAMS服务器
内网用户使用H3C CAMS单点登录的认证方式时,需要在外部认证服务器页面先添加对应的服务器,并设置相关信息。
勾选启用该认证服务器。
• 服务器名称:自定义一个便于区分的服务器名称。
• 服务器地址:写服务器的地址及其端口号,格式为IP:端口或服务器URL地址。
• 数据库编码:择数据库的编码类型:UTF-8、GBK、BIG5,数据库编码决定以什么编码显示用户名等字符,若编码选择不正确,则可能出现用户名乱码。
• 用户名和密码:填写H3C CAMS系统管理员用户的名称和密码。
• 超时:设备连接H3C CAMS系统所消耗的时间,可根据服务器的负载调整,建议使用默认值60s。
• 测试有效性:测试设备跟服务器的连通性及上述配置的有效性。
6.2.1.2.12.第三方认证系统
CAS认证:
勾选启用该认证服务器。
• 服务器名称:自定义一个便于区分的服务器名称。
• URL:填写服务器的URL,请参考“https://IP:8443/cas/login”。
• 关键字:用来识别回包关键字,提取用户名。默认格式:
cas:serviceResponse>cas:authenticationSuccess>cas:user
• 校验版本:可以选择cas2.0或cas3.0。
第三方认证系统Oauth认证
设备内置了7个Oauth的认证方式,如果需要实现除这7种以外的Oauth认证,可以在[认证服务器/第三方认证系统/Oauth]认证服务器进行配置。
在[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Oauth认证服务器。
SAML2.0认证
设备支持通过SAML2.0协议与企业内部的身份认证系统集成,实现单点登录。入网用户在内部的身份认证系统完成认证后即可单点登录AC,在AC上完成用户上线。
勾选启用该认证服务器。
LdP Login Url:IDP认证页面Url,用于跳转至IDP的认证页面。
LdP Entity ID:IDP标识符,用于AC校验IDP身份的合法性。
SP Entity ID:SP标识符,用于IDP校验AC身份的合法性。
认证后跳转地址:AC接收认证响应报文接口,由AC提供至IDP。
指定签名位置:用于指定签名计算方式,此设置AC和IDP两端需要保持一致。
:
1.目前只支持对接微软SAML2.0协议。
2.AC指定签名只支持assertion或response,不支持assertion和response。
3.只支持pem,der,cer,crt后缀证书。
4.支持SHA-1签名算法和SHA-256签名算法