For Google Workspace.
For Microsoft 365.
問題:
如何確保從公司外部只有有通行證(Pass-cookie)的使用者才能夠登入?
解答:
設定該存取限制的方法請參考以下。
請由以下的 URL 存取您的 HENNGE Access Control 管理員介面
https://ap.ssso.hdems.com/admin/[domain.com]
1.[管理員] 建立需要通行證的政策。
2.[管理員] 建立可以發行通行證的使用者。
3.[管理員] 加入可以發行通行證的條件。
4.[管理員] 通知使用者可以登入的條件(如在公司外部需要通行證才可以登入。)
5.[使用者] 由可發行通行證的帳號來做第一次的登入,並在瀏覽器中建立通行證。
【管理員】需做的設定
1. 建立需要通行證(Pass-cookie)的政策
請在「使用者」下的「原則群組」裡找到「新增原則群組」。
■以下是「新增原則群組」的截圖。
2. 建立可以發行通行證的使用者
建立一位可以發行通行證的使用者,(如「登入名稱」為【cookie】)。
如果有 Active-Directory(AD)
確認上述的該名使用者有在 AD 上,並有同步到 HENNGE Access Control。
如果沒有Active-Directory(AD)
在 HENNGE Access Control 上建立該名使用者。
對該名使用者套用步驟一的存取原則。
*不需在 Google Workspace/Microsoft 365 上建立帳號。
3. 加入可以發行通行證的條件
到「系統設定」下的「網域設定」下的「其它設定」,並在「login_name」的地方加上 username。login_name:username(*)
(*)這裡的使用者名稱請和步驟 2 同步。
例:如果您在使用者名稱的第方加的是「cookie」,請在這裡加上「login_name: cookie」。
【範例設定】
變更之前:ip4 :< IP address>
變更之後:ip4:<IP address> or login_name:username(*)
4. 通知使用者可以登入的條件(如在公司外部需要通行證才可以登入。)
以下是步驟二做的設定。
・登入名稱和密碼
・使用者的一次性密碼(OTP token)(*)
* 這個一次性密碼只有緊急才可以使用,可以由使用者編輯畫面中找到。
預設有五組,管理員也可以在這裡任意的新增多組一次性密碼。
OTP (one time password) 只能使用一次,所以管理員可以限制使用者可以登入的瀏覽器數量。一次性密碼(OTP token)在使用過一次之後就會遭到刪除。
【使用者】需做的設定
在管理員完成了步驟一至步驟四之後,請以使用者的身份完成以下的步驟。
5. 以可以發行通行證的使用者先登入過一遍來允許該瀏覽器從外部的登入。
1) 以可以發行通行證的使用者登入。
URL: https://ap.ssso.hdems.com/portal/[Tenant name for exclusive user]/login
ID/密碼/OTP: 第四步管理員提供的帳號資訊。
2) 在登入之後,登出一次。
3) 登出之後使用者就可以以自己的帳號和密碼來做登入了。