配置AD域遠程認證

云堡壘機與AD服務器對接，認證登錄系統的用戶身份，AD認證的模式包括認證模式和同步模式兩種。

• 認證模式

在此模式下，云堡壘機不會同步AD域服務器上的用戶信息，需要管理員手工創建用戶。當用戶登錄云堡壘機時，將由AD域服務器提供認證服務。

• 同步模式

在此模式下，云堡壘機可以同步AD域服務器的用戶信息，無需管理員新建用戶。當用戶登錄云堡壘機時，由AD域服務器提供認證服務 。

前提條件

用戶已獲取“系統”模塊管理權限。

已獲取AD服務器相關信息。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3. 在“AD認證配置”區域，單擊“添加”，彈出AD認證配置窗口。
4. 選擇AD域認證“模式”為“認證模式”，其他參數的配置如下表。
5. 單擊“確認”，返回AD域認證服務器表中，即可查看和管理的AD認證配置信息。

后續管理

• 若需查看配置的AD域認證信息，可單擊“詳情”，在彈出的AD域詳情窗口查看。
• 若需修改認證信息、關閉認證、更換認證模式等，可單擊“編輯”，在彈出的AD認證配置窗口重新配置。
• 若不再需要該AD認證，可單擊“刪除”，刪除認證信息。刪除后認證信息不能找回，請謹慎操作。

配置LDAP遠程認證

云堡壘機與LDAP服務器對接，認證登錄系統的用戶身份。

本小節主要介紹如何配置LDAP域認證模式。

約束限制

• 不支持一鍵同步LDAP服務器用戶。
• 不能添加兩個相同的LDAP配置，即“服務器IP地址+端口+用戶OU”不能相同。

前提條件

• 用戶已獲取“系統”模塊管理權限。
• 已獲取LDAP服務器相關信息。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3. 單擊“確定”，返回LDAP認證服務器表中，即可查看和管理的LDAP認證配置信息。

后續管理

• 若需查看配置的LADP認證信息，可單擊“詳情”，在彈出的LDAP詳情窗口查看。
• 若需修改認證信息、關閉認證等，可單擊“編輯”，在彈出的LDAP配置窗口重新配置。
• 若不再需要該LDAP認證，可在單擊“刪除”，刪除認證信息。刪除后認證信息不能找回，請謹慎操作。

配置RADIUS遠程認證

云堡壘機與RADIUS服務器對接，認證登錄系統的用戶身份。

本小節主要介紹如何配置RADIUS域認證模式，并可對配置的RADIUS認證進行用戶有效性測試。

前提條件

• 用戶已獲取“系統”模塊管理權限。
• 已獲取RADIUS服務器相關信息。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3. 在“RADIUS認證配置”區域，單擊“編輯”，彈出RADIUS認證配置窗口。

RADIUS域認證模式參數說明

參數	說明
服務器地址	輸入RADIUS服務器地址。
狀態	選擇開啟或關閉RADIUS遠程認證，默認開啟。 開啟表示開啟RADIUS認證。在配置信息有效情況下，登錄系統時啟動RADIUS認證。 關閉表示關閉RADIUS認證。
端口	輸入RADIUS遠程服務器的接入端口，默認1812端口。
認證協議	選擇遠程認證協議，可選擇“PAP”和“CHAP”。
認證共享密鑰	輸入RADIUS遠程服務器的認證密鑰。
認證超時	輸入RADIUS遠程認證超時時間。
用戶名	輸入RADIUS服務器上用戶名，用于測試配置的RADIUS服務器信息是否正確。
密碼	輸入RADIUS服務器上用戶密碼，用于測試配置的RADIUS服務器信息是否正確。
測試	單擊測試，用于測試配置的RADIUS服務器信息是否正確。

4. 單擊“確認”，返回RADIUS認證服務器表中，即可查看和管理的RADIUS認證配置信息。

后續管理

若需修改認證信息、關閉認證等，可單擊“編輯”，在彈出的RADIUS配置窗口重新配置。

配置Azure AD遠程認證

云堡壘機與Azure AD平臺對接，認證登錄系統的用戶身份。

本小節主要介紹如何配置Azure AD認證模式。

前提條件

• 用戶已獲取“系統”模塊管理權限。
• 已在Azure AD創建用戶和添加企業應用程序，并獲取Azure AD平臺配置的相關信息。

操作步驟

1. 登錄云堡壘機系統。
2. 選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3. 在“Azure AD認證配置”區域，單擊“編輯”，彈出Azure AD認證配置窗口。

Azure AD域認證參數說明

參數	說明
狀態	選擇開啟或關閉Azure AD遠程認證，默認開啟。 關閉表示開啟Azure AD認證。在配置信息有效情況下，登錄系統時呈現Azure AD認證入口。 開啟表示關閉Azure AD認證。
標識符（實體ID）	輸入企業名稱或URL。
回復URL	自動填寫，默認為返回當前云堡壘機的跳轉鏈接。 當云堡壘機IP或域名變更，需同時修改此鏈接中IP或域名。
應用聯合元數據URL	輸入在Microsoft Azure中配置SAML簽名證書后生成的應用聯合元數據URL。
登錄URL	輸入在Microsoft Azure中配置SAML單一登錄后生成的登錄URL。
Azure AD標識符	輸入在Microsoft Azure中配置SAML單一登錄后生成的Azure AD標識符。

4. 單擊“確認”，提交配置數據驗證可達后，返回Azure AD認證服務器表中，即可查看和管理的Azure AD認證配置信息。

后續管理

• 若需修改認證信息、關閉認證等，可單擊“編輯”，在彈出的Azure AD配置窗口重新配置。
• 成功配置Azure AD認證后，您還需在系統創建已加入到企業應用程序或已在Azure平臺創建的用戶，更多配置說明請參見6.2.1 新建用戶并授權用戶角色。

配置SAML遠程認證

云堡壘機與SAML平臺對接，認證登錄系統的用戶身份。

本小節主要介紹如何配置SAML認證模式。

前提條件

• 用戶已獲取“系統”模塊管理權限。
• 已在SAML創建用戶，并獲取SAML平臺配置的相關信息。

操作步驟

1、登錄云堡壘機系統。

2、選擇“系統 > 系統配置 > 認證配置”，進入遠程認證配置管理頁面。

3、在“SAML認證配置”區域，單擊“編輯”，彈出SAML認證配置窗口。

參數	說明
狀態	選擇開啟或關閉SAML遠程認證，默認為關閉。? ?表示開啟SAML認證。在配置信息有效情況下，登錄系統時呈現SAML認證入口。 ?表示關閉SAML認證。
標識符（實體ID）	獲取idp上的元數據（Shibboleth IDP，默認配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目錄） 標識符：填寫entityID后續的部分。
NameIdFormat	獲取idp上的元數據（Shibboleth IDP，默認配置在C:\Program Files (x86)\Shibboleth\IdP\metadata目錄） NameIdFormat：建議取urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified。
簽名證書	證書請填寫idp中對應的FrontChannel的sigining證書。
登錄URL	登錄URL請填寫協議HTTP-Redirect中對應的SingleSignOnService的Location地址。
登出URL	登錄URL請填寫協議HTTP-Redirect中對應的SingleSLogoutService的Location地址。
回復URL	默認Host為Localhost的IP，請您按照實際部署的情況去填寫（如域名地址）。

4、單擊“確認”，提交配置數據驗證可達后，返回SAML配置項中，即可查看和管理SAML認證配置信息。