硬件AC通过XDLP接入码联动,实现AC静默推送安装并上线XDLP客户端,增强整体数据防泄密能力。
1、【无感推端&身份同步必须项】硬件AC需要升级到13.0.119及以上版本(硬件AC本身升级需要版本在11.0.X以上且内存大于4G)
2、【无感推端&身份同步必须项】硬件AC需要导入“XDLP防泄密授权”序列号。
2、【无感推端&身份同步必须项】已开通云图的SASE可扩展防泄密服务订阅服务。
3、【身份同步必须项】硬件AC与XDLP平台已配置好相同的组织架构(用户/用户组)。
4、【身份同步必须项】AC开启认证能力<作用是为了让XDLP可以直接获取硬件AC的用户无感上线>
5、【建议配置】避免XDLP客户端被卸载或者注销,建议开启终端防卸载和防注销。(配置路径:策略>接入管理>客户端>客户端配置>高级配置)和(配置路径:策略>通用>准入与证书配置>准入插件配置)
1、【SASE平台侧】访问云图(x.sangfor.com.cn),进入云安全访问服务平台,选择管理>接入管理>XDLP接入,点击“复制接入码”。
2、【硬件AC侧】将获取到的接入码填写在硬件AC的 【系统管理】-【系统配置】-【XDLP防泄密能力订阅】中接入码的位置(接入方式选择SaaS XDLP)
若硬件AC前端有防护设备(如AF等)建议对sase.sangfor.com.cn 443 进行加白,避免无拦截导致联动失败。
3、客户端推送(分为两种场景)
【场景一】PC已安装AC端(准入客户端)-->全程无感。
① 当AC设备对接上SASE平台后将会自动拉取XDLP端,并自动无感安装XDLP端(单端静默安装过程大约1min内)。
② 等待静默时间后,XDLP客户端安装并上线完成,管理员可通过SASE平台查看【管理】-【接入管理】-【终端管理】中查看到终端上报到平台,也可以在对应终端浏览器访问查看127.0.0.1:30001地址,有界面回显即可确认客户端安装情况。
【场景二】PC未安装AC端(准入客户端)-->AC客户端有感重定向安装,XDLP客户端无感安装上线
① 【硬件AC侧】进入【接入管理】-【终端管理】-【准入客户端配置】,去掉准入静默模式,开启“系统推送准入客户端”。
② 【硬件AC侧】进入【接入管理】-【接入认证】-【认证高级选项】-【认证选项】,勾选“HTTPS请求未通过认证时,重定向到认证页面(代理时除外)”,并点击保存。
③ 【用户PC侧】用户使用PC访问外网,浏览器会重定向用户至准入客户端下载界面,用户下载并安装AC准入客户端后方可正常上网。
④ 等待静默时间后,XDLP客户端安装并上线完成,管理员可通过SASE平台查看【管理】-【接入管理】-【终端管理】中查看到终端上报到平台,也可以在对应终端浏览器访问查看127.0.0.1:30001地址,有界面回显即可确认客户端安装情况。
【场景一】 硬件AC存在认证策略,使用AC的身份进行无感上线(如账号密码认证等)。
① SASE平台与硬件AC需要有相同的组织架构才可以进行无感上线(XDLP客户端直接获取AC认证身份上线),故提供一下三种方式。
a)SASE平台和硬件AC自建相同的组织架构。
b)【推荐】从已有用户源获取身份,比如LDAP服务器、AD域控、企微、钉钉等(需要配置IDaaS,通过IDaaS获取组织架构)
c)【推荐】有硬件AC且客户组织架构在AC上维护的情况下,可以从AC同步组织结构(将AC作为LDAP服务器进行用户组织架构的同步)
② 进入 【管理】-【接入管理】-【客户端】-【客户端配置】-【高级配置】,勾选“从AC客户端同步用户身份”。(主要用于硬件AC本身已存在认证策略场景)
前提条件:
1、SASE平台需要跟硬件AC有相同的组织架构才可以正常上线!
2、硬件AC开启的认证策略。
③ 当终端PC进行硬件AC的认证后,XDLP端将无需进行认证,直接获取AC身份信息上线。(如果客户端推端后已经手动登录,则在PC重启后将会自动重新读取AC身份上线)
【场景二】XDLP手动输入账号密码上线
① XDLP客户端推送至终端后,可双击客户端或浏览器访问127.0.0.1:30001调出认证窗口,输入已创建的账号密码进行身份认证。
建议使用Chrome浏览器访问!
