For Google Workspace.

For Microsoft 365.

问题:

如何确保从公司外部只有有通行证（Pass-cookie）的用户才能够登入？

解答:

设定该存取限制的方法请参考以下。

请由以下的 URL 存取您的 HENNGE Access Control 管理员介面
https://ap.ssso.hdems.com/admin/[domain.com]

1.[管理员] 建立需要通行证的政策。
2.[管理员] 建立可以发行通行证的用户。
3.[管理员] 加入可以发行通行证的条件。
4.[管理员] 通知用户可以登入的条件（如在公司外部需要通行证才可以登入。）
5.[用户] 由可发行通行证的帐号来做第一次的登入，并在浏览器中建立通行证。

【管理员】需做的设定

1. 建立需要通行证（Pass-cookie）的政策

请在“用户”下的“原则群组”里找到“新增原则群组”。

■以下是“新增原则群组”的截图。

2. 建立可以发行通行证的用户

建立一位可以发行通行证的用户，（如“登入名称”为【cookie】）。

如果有 Active-Directory（AD）

确认上述的该名用户有在 AD 上，并有同步到 HENNGE Access Control。

如果没有Active-Directory（AD）

在 HENNGE Access Control 上建立该名用户。

对该名用户套用步骤一的存取原则。
*不需在 Google Workspace/Microsoft 365 上建立帐号。

3. 加入可以发行通行证的条件

到“系统设定”下的“域名设定”下的“其它设定”，并在“login_name”的地方加上 username。login_name:username(*)

(*)这里的用户名称请和步骤 2 同步。

例：如果您在用户名称的第方加的是“cookie”，请在这里加上“login_name: cookie”。

【范例设定】

变更之前：ip4 :< IP address>
变更之后：ip4:<IP address> or login_name:username(*)

4. 通知用户可以登入的条件（如在公司外部需要通行证才可以登入。）

以下是步骤二做的设定。

・登入名称和密码
・用户的一次性密码（OTP token）(*)

 * 这个一次性密码只有紧急才可以使用，可以由用户编辑画面中找到。

预设有五组，管理员也可以在这里任意的新增多组一次性密码。

OTP (one time password) 只能使用一次，所以管理员可以限制用户可以登入的浏览器数量。一次性密码（OTP token）在使用过一次之后就会遭到删除。

【用户】需做的设定

在管理员完成了步骤一至步骤四之后，请以用户的身份完成以下的步骤。

5. 以可以发行通行证的用户先登入过一遍来允许该浏览器从外部的登入。

1) 以可以发行通行证的用户登入。
　URL: https://ap.ssso.hdems.com/portal/[Tenant name for exclusive user]/login
　ID/密码/OTP: 第四步管理员提供的帐号讯息。

2) 在登入之后，登出一次。

3) 登出之后用户就可以以自己的帐号和密码来做登入了。