在您要使用远程零信任办公服务访问您的应用或者系统资源之前,您需要将其添加到边缘安全加速平台进行管理。
背景说明
企业内部应用系统,例如内部WEB应用服务、服务器或数据库等IT资源,一般未暴露在公网,需要通过专有网络访问。在您添加这部分应用系统到平台后,您的员工登录远程零信任办公服务客户端完成身份认证后,便可以访问这部分局域网内的应用或系统资源。
操作步骤
- 登录边缘安全加速控制台。
- 在首页产品能力栏目,选择零信任进入工作台。
- 左侧导航栏AOne零信任-应用-应用配置,查看应用列表。
- 可根据业务需求进行相关配置。
注意应用配置能力全面升级2.0,提供更便捷、更友好的页面交互体验,同时产品能力更丰富,2.0已在全面公测中(线下针对租户进行启用2.0),以下操作将区分2.0版本进行相应介绍。
应用配置1.0
应用列表
您可点击应用列表分页进行应用的管理,包括应用的添加,编辑,删除操作。
应用批量导入
可通过应用列表的“批量导入”功能进行应用批量导入,请按照模版要求进行导入文件,目前支持的文件类型为*.xls,*.xlsx。
添加应用
新增时可针对应用进行相关配置。区分应用基础配置、WEB应用类型配置、网络应用类型配置、连通性探测配置、应用授权介绍。
- WEB应用:http,https,ws,wss协议类型应用。
- 网络应用:除WEB应用协议外的其他协议,例如tcp,udp,ssh。
注意对于不同的应用类型(WEB应用、网络应用),应用地址的添加字段和处理存在差异,请根据具体应用类型进行选择,若类型选择错误,可能会导致访问异常。
应用基础配置
基础配置字段说明如下:
字段 是否必填项 字段说明 应用名称 是 应用的名称。 描述
否 应用的说明。 应用标签 否 请在下拉框勾选应用标签,应用标签列表来源于应用标签分页您添加的所有应用标签,若需新增应用标签,请滑动到下拉框底部单击添加标签按钮进行添加。 应用负责人 否 应用可自定义其负责人,方便您进行区分人员进行管理应用。 应用重要等级 是 请给应用选择对应重要程度等级,在配置各类防护策略时您可根据应用的等级对出现异常访问的行为进行梯度降权,越高等级的应用将越受到保护,若未选择,则默认为低等应用。 应用图标 否 支持图片上传对应图标,也可以从待选图标里面选择图标,配置图标后,该图标将作为该应用在客户端的展示图标。企业员工用户通过终端点击该图标实现WEB类型应用快捷访问。网络类型应用不支持图标点击快捷访问。
WEB应用类型配置
若选择“WEB应用”则展示WEB应用相关配置。
字段 是否必填项 字段说明 入口URL 是 用户可在客户端点击应用则可访问入口URL,便于应用快捷访问、应用地址统一管理。将根据入口URL默认添加为应用地址,不允许进行删除。 企业门户上架 是 企业门户是企业向员工展示的门户网站,选择企业门户上架开启,则在客户端的企业门户页面可展示该应用以及对应的入口地址URL,员工可点击进行快捷访问。 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段,请按照要求进行相关配置:域名:支持输入1个域名(如ctyun.cn)或泛域名(如*.ctyun.cn),不支持中文。IP地址:支持输入1个IP地址(如1.1.1.1),若有多个请增加多条或配置IP范围或IP网段。IP范围:支持输入1个IP范围(如1.1.1.1-1.1.1.16)。IP网段:支持输入1个IP网段(如1.1.1.1/32)。协议:支持http、https、ws、wss进行选择。端口:支持配置端口或端口范围(如81-85),多个端口用“,”隔开,不支持同时配置端口和端口范围或配置多个端口范围。 关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上,实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器上。为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
网络应用类型配置
若选择“网络应用”则展示网络应用相关配置。
字段 是否必填项 字段说明 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段,请按照要求进行相关配置:域名:支持输入1个域名(如ctyun.cn)或泛域名(如*.ctyun.cn),不支持中文。IP地址:支持输入1个IP地址(如1.1.1.1),若有多个请增加多条或配置IP范围或IP网段。IP范围:支持输入1个IP范围(如1.1.1.1-1.1.1.16)。IP网段:支持输入1个IP网段(如1.1.1.1/32)。协议:TCP、UDP、全部,根据具体协议选择。端口:支持配置端口或端口范围(如81-85),多个端口用“,”隔开,不支持同时配置端口和端口范围或配置多个端口范围。 关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上,实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器上。为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
连通性探测配置
您可以进行连通性探测探测配置,检测连接器到应用的访问连通性,保障应用配置的可用性,也可以跳过检测进行下一步。
对应字段说明如下:
字段 是否必填项 字段说明 探测地址 是
分类:域名、IP地址。
探测地址:仅支持单个域名或单个IP输入。
探测协议:支持HTTP、HTTPS、TCP、UDP,若配置WEB类型应用,默认初始化使用HTTP,HTTPS协议,以探测返回HTTP状态码为2xx和3xx则为正常,若配置网络类型应用,默认初始化使用TCP协议,以网络可达为正常。
探测路径:若应用地址需具体URL才可访问,则需配置URL路径,会拼接URL进行探测。
探测端口:仅支持输入1个端口号。
自动连通性检测 是
若开启自动连通性探测,会根据已勾选的触发条件后台自动进行探测,在您查看应用页面时刷新展示探测结果。开启自动探测需填写有效探测地址。
若有填写探测地址,则可在列表页点击探测按钮立即探测。
若未填写探测地址,则列表页应用连通性展示为未配置,无法立即探测。
连通性探测触发条件 否
探测地址变化:在重新保存应用配置后,会触发立即探测,默认勾选不支持取消。
关联连接器集群变化:在应用关联的连接器集群变化后,会触发立即探测,默认勾选不支持取消。
连接器实例升级后:在连接器实例升级后,会触发立即探测,默认勾选不支持取消。
周期性探测:开启后,根据所选择的探测周期执行探测任务,建议选择合适的探测周期,避免频繁探测影响业务,周期性探测可选择时间:1小时、6小时、12小时、24小时。
应用授权
未授权应用则默认不引流,按原有路径进行访问,建议可添加至已有授权策略,避免策略过多。若暂未明确授权范围,可先跳过配置,后续再进行统一授权。
具体配置模式参考应用授权。
编辑应用
编辑时可针对应用进行相关配置。
- WEB应用:http,https,ws,wss协议类型应用。
- 网络应用:除WEB应用协议外的其他协议,例如tcp,udp,ssh。
注意对于不同的应用类型(WEB应用、网络应用),应用地址的添加字段和处理存在差异,请根据具体应用类型进行选择,若类型选择错误,可能会导致访问异常。
标签列表
标签是作为应用的分类分组标识,通过标签可以对应用进行分组管理,根据不同的应用类型和标签分类,实现对应用的快速筛选和授权选择。
可针对应用标签进行新增、编辑、删除。
字段 是否必填项 字段说明 标签名称 是 应用标签的名称。 应用管理员 否 若您有配置应用管理员,则可以勾选对应应用管理员,被勾选的应用管理员能具备该标签对应的所有应用的管理权限。
应用配置2.0
应用列表
您可点击应用列表分页进行应用的管理,包括应用的添加、编辑、删除操作。
应用批量导入
按照模版要求进行导入文件,目前支持的文件类型为*.xls,*.xlsx,单个文件最多支持导入100个应用,超过100个请分多个文件多次导入。
应用批量导出
据当前查询条件导出应用数据,导出文件类型为*.xlsx。
添加应用
新增时可针对应用进行相关配置。区分应用配置、连通性探测、应用授权介绍。
- WEB应用:http,https,ws,wss协议类型应用。
- 网络应用:除WEB应用协议外的其他协议,例如tcp,udp,ssh。
注意对于不同的应用类型(WEB应用、网络应用),应用地址的添加字段和处理存在差异,请根据具体应用类型进行选择,若类型选择错误,可能会导致访问异常。
应用配置
基础配置字段说明如下:
字段 是否必填 字段说明 应用类型 是 分为Web应用与网络应用。 应用名称 是 应用的名称。 应用描述 否 应用的说明。 应用标签 否 请在下拉框勾选应用标签,应用标签列表来源于应用标签分页您添加的所有应用标签,若需新增应用标签,请滑动到下拉框底部单击添加标签按钮进行添加。 企业门户上架 否 企业门户是企业向员工展示的门户网站,选择企业门户上架开启,则在客户端的企业门户页面可展示该应用以及对应的入口地址URL,员工可点击进行快捷访问。
注意:仅Web应用有企业用户上架限制。应用状态 是 分为启用或禁用。 权限申请 是 默认允许用户申请此权限。 应用负责人 否 应用可自定义其负责人,方便您进行区分人员进行管理应用。 应用重要等级 是 请给应用选择对应重要程度等级,在配置各类防护策略时您可根据应用的等级对出现异常访问的行为进行梯度降权,越高等级的应用将越受到保护,若未选择,则默认为低等应用。 应用访问 否 默认开启该应用可在电脑端与手机端使用,用户可以配置应用访问的可见范围与打开方式。 应用图标 否 支持图片上传对应图标,也可以从待选图标里面选择图标,配置图标后,该图标将作为该应用在客户端的展示图标。企业员工用户通过终端点击该图标实现WEB类型应用快捷访问。网络类型应用不支持图标点击快捷访问。 入口URL 是 用户可在客户端点击应用则可访问入口URL,便于应用快捷访问、应用地址统一管理。 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段,请按照要求进行相关配置:域名:支持输入1个域名(如ctyun.cn)或泛域名(如*.ctyun.cn),不支持中文。IP地址:支持输入1个IP地址(如1.1.1.1),若有多个请增加多条或配置IP范围或IP网段。IP范围:支持输入1个IP范围(如1.1.1.1-1.1.1.16)。IP网段:支持输入1个IP网段(如1.1.1.1/32)。协议:支持http、https、ws、wss进行选择。端口:支持配置端口或端口范围(如81-85),多个端口用“,”隔开,不支持同时配置端口和端口范围或配置多个端口范围。 关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上,实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器,则位于内蒙网络的应用资源,需将其关联到内蒙连接器上。为保证访问正常,不允许两个存在相同IP地址的应用关联到不同的连接器上,请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。
连通性探测(可选)
注意不允许将相同应用地址关联到不同的连接器集群,系统会识别到当前的冲突情况,若选择统一关联连接器集群后 ,将调整冲突应用的原有关联连接器集群,若选择取消,则不保存当前冲突应用的的连接器集群关联配置。
您可以进行连通性探测探测配置,检测连接器到应用的访问连通性,保障应用配置的可用性。
字段 是否必填项 说明 探测地址 是
分类:域名、IP地址。
探测地址:仅支持单个域名或单个IP输入。
探测协议:支持HTTP、HTTPS、TCP、UDP,若配置WEB类型应用,默认初始化使用HTTP,HTTPS协议,以探测返回HTTP状态码为2xx和3xx则为正常,若配置网络类型应用,默认初始化使用TCP协议,以网络可达为正常。
探测路径:若应用地址需具体URL才可访问,则需配置URL路径,会拼接URL进行探测。
探测端口:仅支持输入1个端口号。
自动连通性探测 否
若开启自动连通性探测,会根据已勾选的触发条件后台自动进行探测,在您查看应用页面时刷新展示探测结果。开启自动探测需填写有效探测地址。
若有填写探测地址,则可在列表页点击探测按钮立即探测。
若未填写探测地址,则列表页应用连通性展示为未配置,无法立即探测。
连通性探测触发条件 否
探测地址变化:在重新保存应用配置后,会触发立即探测,默认勾选不支持取消。
关联连接器集群变化:在应用关联的连接器集群变化后,会触发立即探测,默认勾选不支持取消。
连接器实例升级后:在连接器实例升级后,会触发立即探测,默认勾选不支持取消。
周期性探测:开启后,根据所选择的探测周期执行探测任务,建议选择合适的探测周期,避免频繁探测影响业务,周期性探测可选择时间:1小时、6小时、12小时、24小时。
应用授权(可选)
未授权应用则默认不引流,按原有路径进行访问,建议可添加到已授权策略,避免策略过多。若暂未明确授权范围,可先跳过配置,后续再进行统一授权。
具体配置模式参考应用授权。
编辑应用
编辑时可针对应用进行相关配置。
- WEB应用:http,https,ws,wss协议类型应用。
- 网络应用:除WEB应用协议外的其他协议,例如tcp,udp,ssh。
注意对于不同的应用类型(WEB应用、网络应用),应用地址的添加字段和处理存在差异,请根据具体应用类型进行选择,若类型选择错误,可能会导致访问异常。
如果您想了解更多关于单点登录(SSO),详细配置见单点登录(SSO)是什么。
标签列表
标签是作为应用的分类分组标识,通过标签可以对应用进行分组管理,根据不同的应用类型和标签分类,实现对应用的快速筛选和授权选择。
可针对应用标签进行添加、编辑、删除。
