本文档介绍如何在不安装SASE客户端的情况下通过浏览器访问企业内网应用。
适用场景
外部供应商或移动办公用户需通过浏览器安全访问企业内部应用,无需安装客户端。
前提条件
CNAME代理方式,您需要将自定义代理域名的CNAME解析到 SASE 的接入点域名中。
实现方式
SASE 提供两种代理模式以支持内网域名的无客户端访问,请根据实际需求选择适合的模式。
|
代理方式 |
原理 |
优点 |
缺点 |
|
域名映射 |
SASE 提供一个新的代理域名。企业员工可以使用该域名访问内网应用。 |
独立新域名,不影响原来的访问逻辑。 |
由于访问域名的变化,可能会导致以下几种问题。
|
|
CNAME |
使用企业申请的域名,并CNAME解析到 SASE 的网关上,企业员工使用该域名访问内网应用。 |
可以复用内网域名。 |
配置流程更复杂:
|
步骤一:创建应用
-
登录 办公安全平台控制台 。
-
在左侧导航栏选择 。
-
您需要判断是否使用自定义代理域名来选择代理模式。
域名映射代理模式
使用 SASE 提供一个新的代理域名。企业员工可以使用该域名访问内网应用。
-
单击 添加应用 ,在 配置项中输入 应用名称 并勾选 浏览器访问 ,然后单击 下一步 。
-
在 应用地址 配置项中,配置 应用地址 、 端口 、 协议 、 代理域名(SaaS代理网关) 、 设置映射域名 等。请参考下图配置域名映射代理模式。
CNAME代理模式
使用企业申请的域名,并CNAME解析到 SASE 的网关上,企业员工使用该域名访问内网应用。
-
在页面右上角,单击 证书管理 。并上传企业SSL证书及私钥托管在 SASE 控制台。
-
单击 添加应用 ,在 配置项中输入 应用名称 并勾选 浏览器访问 ,然后单击 下一步 。
-
在 应用地址 配置项中,配置 应用地址 、 端口 、 协议 、 代理域名(SaaS代理网关) 选择 CNAME 并设置企业自定义的代理域名等。请参考下图,了解如何配置CNAME代理模式。
-
-
如果您的应用满足以下条件,您可以单击 确定 ,完成应用创建。若不满足条件,请参考 浏览器访问配置 和 高级设置 。
-
未接入单点登录SSO。
-
未限制访问应用的域名。
-
应用内不存在指向其他内网地址的链接。
-
应用前端未向其他内网应用发起跨域请求。
浏览器访问配置
若应用中包含内网地址链接或需向其他内网应用发起跨域请求,在有客户端的情况下,因内网已打通,可正常访问。而在无客户端场景下,由于无法直接访问其他内网应用,需对相关链接进行改写以确保无客户端访问的正常进行。
配置HTML改写
-
勾选 HTML内网域名重写 。如果应用中包含的其他内网应用已经配置了代理域名, SASE 会扫描所有链接并自动进行替换代理域名。
-
对于以下情况, SASE 网关无法自动识别,需要指定重写前后地址, SASE 会替换代理域名。
<script> //js变量声明一个url,此时SASE网关无法自动识别到该链接,需要指定替换规则 const url = "https://www.a.com/" //将url赋值给window.href window.href = url </script>
配置JS改写
勾选 JS内网请求重写 。如果应用的前端JS代码向其他内网应用发起跨域请求,会自动替换请求地址。
配置匿名访问
勾选 匿名访问 ,并配置指定IP或IP段对指定内网访问路径不校验身份和零信任策略,直接放行。
高级配置
您可以通过配置网关请求改写参数,将无客户端请求中的Headers和Query参数改写为配置值,作为无客户端的访问标识,方便后期分析。
-
-
配置完成后,单击 确定 。配置生效大约需要2分钟。
步骤二:配置零信任策略
配置零信任策略可以确保只有经过身份验证的用户能够通过浏览器访问无客户端应用,从而提高安全性。
-
在左侧导航栏选择 。
-
单击 添加策略 ,在 新增策略 面板中配置 生效用户 和应用。
说明无客户端应用不支持配置安全基线和触发模板。
-
单击 确定 。
步骤三:配置验证
-
在测试机器上,对代理域名进行连通性测试。确保代理域名已经解析到SASE的接入点。
-
通过浏览器访问代理域名,查看是否能够正常访问内网应用。
说明首次通过浏览器访问会重定向到登录页面。
-
域名映射模式: 在应用列表中复制代理地址。
-
CNAME代理模式: 使用自定义代理域名访问。
-
其他操作
对于启用了钉钉身份源的用户,您可以参考 通过办公安全平台保障钉钉用户安全访问 。创建网页应用,将无客户端应用代理域名配置到 应用首页地址 中,并配置生效用户。通过此配置,钉钉用户无需再次输入登录信息即可访问应用。