深信服自助服务平台

云安全访问服务SASE

深信服云安全访问服务（Sangfor Access）是国内首批基于SASE模型的云安全服务平台，将深信服已有的安全能力（上网行为管理、终端安全检测与响应、上网安全防护、内网安全接入服务等）聚合并云化，通过轻量级客户端软件，将网络流量引流上云进行管理和安全检测，满足企业总部、分公司、移动办公多场景下的办公安全需求。

搜本产品

点击可切换产品版本

知道了

不再提醒

新平台

{{item.code}}

产品手册

互联网安全访问(SWG)

概览

互联网访问

分析

策略

管理

身份管理

接入管理

告警管理

告警配置

日志服务

对象

通用

日志

内容审计

外发行为

排障

SASE-AF

概览

安全总览

分析

策略

威胁管理

白名单设置

日志

远程接入安全(SASE-VPN)

策略

可扩展数据防泄密（XDLP）

服务概览

分析

接入状态

用户状态

数据防泄密

泄密追溯中心

策略

敏感对象定义

终端泄密审计

管理

身份管理

接入管理

日志服务

泄密高级配置

防泄密附件存储

对象

通用

证书管理

日志

登录/注销

系统日志

管理员操作

指引

零信任网络访问（ZTNA）

服务概览

分析

接入状态

用户状态

策略

高级安全设置

管理

身份管理

接入管理

告警管理

告警配置

日志

零信任网络访问

云威胁情报网关

配置指引

全球加速服务

授权申请

SDWAN网络控制器

IDaaS数字身份中台

用户认证

认证源

双因素认证

认证页面模板

云安全访问服务SASE

告警

分支告警

分析

分支监控

管理

身份管理

SASE本地账号密码认证

引流策略

快速接入

SASE硬件引流设备快速接入

SASE软件客户端快速接入

BYOD标准客户端安装

Windows引流客户端快速接入

分支管理

通用

管理员账号管理

云安全访问服务SASE

IDaaS数字身份中台

Azure AD 用户源

{{sendMatomoQuery("云安全访问服务SASE","Azure AD 用户源")}}

Azure AD 用户源

更新时间：2024-12-02

功能介绍

本文档将为您介绍云安全访问服务中IDaaS的AzureAD认证功能。前身为Azure Active Directory (Azure AD) 的Microsoft Entra ID 是Microsoft 提供的一项身分识别和存取权管理解决方案，可协助组织保护和管理混合和多云端环境的身分识别。

前提条件

1、已开通SASE、IDaaS认证平台

2、已有Azure AD账号（如无则创建，见下文1.1）

配置操作

1、AzureAD相关前置设置

1.1创建Azure账号（如有，则忽略）：

https://azure.microsoft.com/zh-cn/free/search/?ef_id=_k_EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE_k_&OCID=AIDcmmiqezz3h5_SEM__k_EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE_k_&gad_source=1&gclid=EAIaIQobChMIqsvRqYzcggMVJGsPAh3EoA5sEAAYAiAAEgK2-vD_BwE

1.2创建idaas同步的应用程序：AzureAD首页>点击“管理 Microsoft Entra ID”查看>添加>企业应用程序>创建你自己的应用程序>填写名称，并选择“集成未在库中找到的任何其他应用程序(非库)”

随后可以在应用注册>所有应用程序看到刚注册用来idaas配置的应用程序。

1.3将该应用程序的API权限，读取用户和组的权限授予。

AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，找到对应的应用程序>API权限>添加权限> Microsoft Graph。

先选择“应用程序权限”

搜索“user”并选择“User.Read.All”，添加权限。

搜索“group”并选择“Group.Create、Group.Read.All、Group.ReadWrite.All”，添加权限。

再回去选择“委托的权限”，选择“User.Read.All”，添加权限。

1.4最后检查是有5个API权限的，全部都需要被授予权限。

2、IDaaS用户源

2.1登录IDaaS控制台>统一目录>用户源>Azure Active Directory 用户源，新建用户源。

2.2基础配置的三个参数，分别到AzureAD找到并填入。

【参数说明】

租户ID：AzureAD首页>点击“管理 Microsoft Entra ID”查看，租户ID。

应用程序(客户端) ID：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，找到对应的应用程序>复制应用程序ID。

客户端密码：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，点击对应的应用程序>证书和密码（如果没有，就新建客户端密码，注意，新建之后只有唯一一次看到完整密码的机会，记得复制粘贴下来！！！）。

2.3点击同步用户，可以看到从AzureAD同步过来的域用户。

3、IDaaS认证源

3.1新建一个Oauth2.0认证源。

3.2从对应的AzureAD平台，将相关参数填入。

高级配置的用户名，属性表达式默认为空，需要填入和用户源一样的属性表达式。

Tips：可以在用户源匹配规则找到

【参数说明】

Client ID：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，找到对应的应用程序>复制应用程序ID。

Client Secret：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，点击对应的应用程序>证书和密码（如果没有，就新建客户端密码，注意，新建之后只有唯一一次看到完整密码的机会，记得复制粘贴下来！！！）。

授权URL：AzureAD首页>点击“管理”查看>应用注册>终结点>OAuth 2.0 授权终结点(v2)

Token地址：AzureAD首页>点击“管理”查看>应用注册>终结点>OAuth 2.0 令牌终结点(v2)

用户信息请求地址：AzureAD首页>点击“管理”查看>应用注册>终结点>Microsoft Graph API 终结点，将该域名复制，再在后面追加/v1.0/me

授权回调地址：AzureAD首页>点击“管理 Microsoft Entra ID”查看>应用注册，点击对应的应用程序>身份验证>平台配置，添加平台>WEB，将IDAAS上的回调地址填入此处。

3.3 到IDaaS应用管理>认证源，开启对应的Oauth2.0认证模块。

4、SASE平台配置

4.1触发IDaaS用户同步到SASE平台：在云安全访问服务>管理>身份管理>高级配置>IDaaS用户源配置，点击保存触发手动同步。

4.2设置认证方式：在云安全访问服务>管理>身份管理>认证管理，选择对应的设备新增策略，勾选Oauth2.0认证方式。

【效果验证】

点击客户端登陆，浏览器会重定向跳转到IDaaS的Oauth认证界面

跳转AzureAD的登录界面，并输入域账号密码登录。

3、认证成功