本帮助主要介绍以下内容:
设备通过与可信访问控制器联动,将收到的用户请求报文,引导至可信访问控制器进行身份认证,并确定认证通过的用户对当前请求的资源是否有访问权限。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
单击“负载均衡 > 零信任 > 可信访问控制器”。
在“可信访问控制器”页面单击<新建>按钮。
图-1 可信访问控制器页面
新建可信访问控制器,具体配置内容如下:
图-2 新建可信访问控制器
表-1 可信访问控制器配置
参数 | 说明 |
名称 | 可信访问控制器的名称,不区分大小写 |
本地权限联动URL | 与可信访问控制器联动的本地服务URL地址,可信访问控制器可以通过本地服务URL向设备通知用户下线、用户权限变更等事件。本地服务URL须满足的格式要求为:“协议类型://服务器IP地址:端口号”
同一台设备上,不允许为不同的可信访问控制器配置地址和端口号完全相同的本地权限联动URL 同一可信访问控制器中,配置的本地权限联动URL和外部鉴权服务URL不允许地址和端口号都相同 |
外部鉴权服务URL | 提供外部鉴权服务的对端URL。设备可以通过外部鉴权服务URL向可信访问控制器进行注册及用户权限鉴别。外部鉴权服务URL须满足的格式要求为:“协议类型://服务器IP地址:端口号”
同一台设备上,不允许为不同的可信访问控制器配置地址和端口号完全相同的外部鉴权服务URL 同一可信访问控制器中,配置的本地权限联动URL和外部鉴权服务URL不允许地址和端口号都相同 |
SSL客户端策略 | 可信访问控制器引用的SSL客户端策略,可以对设备作为SSL客户端与可信访问控制器之间传输的流量进行加密传输 可选择已创建的SSL客户端策略,也可以新创建SSL客户端策略 |
SSL服务器端策略 | 可信访问控制器引用的SSL服务器端策略,可以对设备作为SSL服务器与可信访问控制器之间传输的流量进行加密传输 可选择已创建的SSL服务器端策略,也可以新创建SSL服务器端策略 |
鉴权服务功能 | 开启/关闭鉴权服务 |
描述 | 可信访问控制器的描述信息 |
单击<确定>按钮,新建的可信访问控制器会在“可信访问控制器”页面显示。
完成上述配置后,需要在可信接入代理或可信API代理中引用可信访问控制器,详细说明请参见可信接入代理和可信API代理模块的相关说明。