零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","免认证应用")}}

免认证应用

更新时间:2024-01-09

免认证应用适用于客户有自己的统一身份认证平台(采用OAuth2.0CAS协议),所有业务都在统一身份认证平台上进行认证,当aTrust也加入到统一身份认证平台时,即可实现aTrust与业务系统的单点登录

但当客户认证服务器部署在内网时,外网访问应用的用户,必须先登录aTrust才能代理访问,而此时aTrust自身登录也依赖于统一身份认证平台,存在矛盾

此时,可以考虑将统一身份认证平台发布成免认证应用,不需要经过认证,仍然可以由代理网关代理访问,进入内网,到统一身份认证平台进行登录。

免认证应用的配置和Web应用配置类似。

表33免认证应用操作说明表

操作

说明

名称

设置应用名称,例如:财务系统。

描述

给创建的应用添加描述,非必填项。

所属应用分类

选择应用所在的分类,在创建应用前,选择左边的应用分类,点击<添加>按钮创建应用会自动填写所属应用分类,也可以在创建应用的同时对其做修改。

所属节点区域

选择代理网关的节点。

透明代理模式

透明代理模式:透明代理模式(默认推荐):不对网站进行内容改写,适用于较为规范化的业务系统发布。推荐配置方式为前后端访问地址保持一致。(注:透明代理模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理),以避免兼容性适配过程)。

智能改写模式

智能改写模式:智能改写模式:适用于透明代理不能正常兼容的复杂站点或老旧站点(比如说站点中有大量URL绝对路径)。(注:智能改写模式兼容性取决于网站规范化程度。如无特别必要,请发布为隧道资源(4层代理) ,以避免兼容性适配过程)。

后端服务器地址

填写服务器真实的IP地址或域名

前端访问地址

填写真实访问业务系统的地址,只支持域名的形式,支持使用HTTPHTTPS协议访问

授信证书

若是HTTPS的访问方式,可选择导入授信的SSL证书,解决浏览器会有不授信的告警框的问题。

图标

设置隧道资源的图标,用于区分。

开启依赖站点

适用于Web页面下有很多子应用的场景,如一些门户网站,首页是www.qq.com,打开首页后,下属还有sports.qq.comnews.qq.com等。

依赖站点的开启必须要有泛域名并导入泛域名证书,导入后将下属的站点地址填写到依赖站点中,设备会对其做前端访问地址的改写。

私有DNS解析

私有DNS解析适用于Web应用灰度发布的场景,即前期前期只在部分用户测试proxy代理访问,再逐渐开放到所有用户,不想直接发布,公司所有员工访问应用都改为通过proxy代理访问,影响范围比较大。

URL路径规则

设置URL路径的黑白名单,可以限制某些页面的访问。

访问控制策略

只有当终端用户的接入满足以下网络区域访问时才允许访问该应用。