深信服自助服务平台

SSL VPN

深信服SSL VPN集SSL/IPSec于一身，帮助企业构建端到端的安全防护体系，业内拥有多项加密技术，多种认证方式、主从绑定等特色功能，保证远程系统接入的用户身份安全、终端/数据安全、传输安全、应用权限安全和审计安全，具有快速、易用、全面等优势特点，并且连续多年市场占有率第一，一直走在技术前沿，提供优质服务，用户认可度极高。

搜本产品

点击可切换产品版本

知道了

不再提醒

SSL7.6.7R1

{{item.code}}

最新动态

版本发布动态

产品手册

运行状态

系统设置

系统配置

网络配置

系统选项

网络传输优化

主题管理

集群部署

集群主备部署

分布式部署

SSL VPN 设置

用户管理

查看资源

资源管理

角色授权

认证设置

主要认证

辅助认证

认证选项设置

策略组管理

终端服务器管理

企业移动管理

移动设备策略

Android 策略

IOS策略

端点安全

SC 设置

IPSec VPN 设置

防火墙设置

案例学习

NAT 设置

案例学习

访问监控

防 DOS 攻击

系统维护

系统更新

SSL VPN 更新设置

控制台命令

用户手册下载

运维管理

配置联调

功能配置指导

SSL VPN 客户端使用

主备集群配置指导

场景使用案例

WEB 应用

TCP 应用

外部认证配置案例

单点登录配置案例

防火墙配置案例

综合案例

第三方认证

更新时间：2022-01-11

第三方认证支持钉钉认证、CAS 票据认证。

钉钉认证

SSL 设备与钉钉开放平台的开放接口对接，使用户在移动终端上（ Android 和 IOS）

登录钉钉后，可以通过 VPN 安全访问企业的内网微应用。

WEBUI 路径：『SSL VPN 设置』→『认证设置』→『主要认证』→『第三方接口认证』。

页面如下：

点击设置，打开【第三方认证设置】页面，如下图：

点击新建按钮以新建钉钉-微应用认证，界面如下图所示：

『钉钉版本』可用来选择钉钉认证的版本，若是旧版微应用，则选择 v1.0，新版微应用则选择 v2.0，现在新建的微应用都是新版微应用。

『钉钉接口地址』填写固定值 https://oapi.dingtalk.com。

『认证超时』当连接到钉钉接口地址，但是请求地址超过这里所设置的时间仍然没有回应，就认为客户端认证失败。

『CorpID』填写通过钉钉管理员账号生成开发者帐号中新建的 CorpID，这个值是企业唯一标识，不同的开发者帐号中这个值都是同一个值。

『AgentID』填写钉钉上对应应用生成的 AgentID。

『AppKey』填写钉钉上对应应用生成的 AppKey。

『AppSecret』填写钉钉上对应应用生成的 AppKey。

『首页地址』填写钉钉上对应应用填写的首页地址。

[授权策略] 用来设置钉钉认证的用户成功认证后，通过组映射或者角色映射映射到对应的用户组或者角色以继承对应的授权，从而使钉钉用户能够访问企业内网微应用地址。

设置组映射，点击添加按钮可以根据钉钉通讯录中的部门 ID 和名称映射到本地用户组，若不配置则默认映射到默认用户组，界面如下图所示：

『钉钉部门 ID』填写钉钉通讯录中的部门 ID。

『钉钉部门名称』填写钉钉通讯录中的部门名称。

『映射到本地用户组』选择需要映射的本地用户组。

注：设置完组映射后，当用户属于多个钉钉部门时，组映射关联的资源将同时生效，策略将以较小的钉钉部门 ID 对应的映射为准。即某个用户对应多个部门时，其映射的用户组关联的资源可以累加取并集，但策略由于可能存在冲突，所以默认取钉钉部门 ID 最小的部门映射的用户组的策略为准。

设置角色映射，首先需要启用角色映射，点击添加按钮然后根据钉钉通讯录中的角色映射到本地角色，界面如下图所示：

『外部角色』填写钉钉通讯录中的角色名称。

『映射到本地角色』选择需要映射的本地角色。

注：当用户同时属于角色映射的角色和组映射关联的角色时，两者角色都生效。比如：在钉钉认证设置中，添加组映射，将【财务部门】映射到 VPN 本地用户组【外部用户组】，【外部用户组】关联本地【角色 A】；同时启动了角色映射，将钉钉的角色【部长】映射到本地的【角色 B】；【角色 A】关联资源为财务系统，【角色 B】关联资源为人事系统。
例如：小明是财务部门的，同时他在钉钉的角色为部长，则组映射的【角色 A】和角色映射的【角色 B】，对小明都生效，小明同时可访问【角色 A】关联的财务系统和【角色 B】关联的人事系统。

CAS 票据认证

CAS 票据认证支持域 CAS 系统对接，支持与 CAS1.0、2.0、3.0 对接，实现 VPN、统一门户、内网业务系统的单点登录。

WEBUI 路径：『SSL VPN 设置』→『认证设置』→『主要认证』→『第三方接口认证』。

页面如下：

点击设置，打开【第三方认证设置】页面，如下图：

点击新建按钮，新建 CAS 票据认证，如下图：

[认证接口地址]填写 CAS 统一认证平台的认证接口地址；

[请求方式]根据 CAS 统一认证平台的特性选择“get”或“post”，默认为“get”；

[认证超时]可配置 5-60 秒之间，默认 15 秒；

[页面编码]根据 CAS 统一认证平台的特性选择“UTF-8”或“GBK”，默认为“UTF-8”；

[请求头] 特殊配置根据 CAS 要求配置，通常留空即可；

[请求模版] 特殊配置根据 CAS 要求配置，通常使用默认模板即可；

[接收模版格式] 根据 CAS 统一认证平台的特性选择“XML”、“JSON”或“字符串格式”，默认为“XML”；

[接收字段配置] 作用于下面【授权配置】，填写 CAS 返回的字段，并在【授权配置】中配置对应的值来映射到用户组或角色。若对应的字段为 LDAP 格式，如下图，需勾选“使用 LDAP 格式，自动分节字段内容”，一般金智的 CAS 为 LDAP 格式。

授权配置支持组映射或者角色映射。

根据配置的接收字段配置组映射或者角色映射，一般 LDAP 格式组映射读取的是 OU 字段，角色映射读取的为 CN 字段。

例如配置用户组的接收字段为“memberOf5”，CAS 服务器返回的“memberOf5”的值为“蜀国”，那么在组映射中添加名称为“蜀国”，映射到本地的“cas-test”的用户组（例如：CAS 用户 A 属于 CAS 服务器的“蜀国”用户组，登录 VPN 后，用户 A 属于 VPN 本地用户组“cas-test”），角色映射与此类似。

若没有配置映射，则默认会映射到默认用户组。