本文介绍如何使用 EIAM(即数字身份管控平台)和 SSL VPN 实现访问控制,提升您业务的安全性。
说明
流程
![](https://qcloudimg.tencent-cloud.cn/image/document/a01b4bb9e837d2b97b9b0d20d0ed03ab.png)
EIAM 认证配置
1. 登录 EIAM 平台,在导航栏选择用户管理 > 组织机构管理 > 根节点,然后在根节点页面单击新建用户。
![](https://qcloudimg.tencent-cloud.cn/image/document/78c74f095994689d8ef1ac4712c5f3e0.png)
2. 在弹出的新建用户页面配置相应参数。
该处用户名密码将会用于登录 腾讯云 Client VPN 自助服务门户。
![](https://qcloudimg.tencent-cloud.cn/image/document/23e0601846d21c2edde440fdc7966eac.png)
创建用户组 并添加下相应的成员
1. 在导航栏选择用户管理 > 用户组管理,在用户组管理页面单击新建用户组,并依据界面参数填写相应的内容,然后单击确定。
![](https://qcloudimg.tencent-cloud.cn/image/document/3ea7c659c87a3ce2f5d91aaf8ac1c99d.png)
2. 在创建好的用户组区域单击添加用户。
![](https://qcloudimg.tencent-cloud.cn/image/document/583eafb43825c00b219a1f78c6b820a9.png)
3. 在弹出的添加用户页面将成员添加至用户组,然后单击确定。
![](https://qcloudimg.tencent-cloud.cn/image/document/4040a834f79ca4e6f066b48da5728527.png)
1. 在导航栏选择应用管理,单击应用市场新建,在弹出的应用市场新建页面选择 腾讯云 VPN,然后单击下一步:编辑应用信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/ad2011df8eea556a98a9bf1b38e36d3c.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/68cac6244335841f48fa6a3c4cac4ce4.png)
2. 在编辑应用信息页签依据界面提示填写相应的信息,然后单击下一步:完成。
![](https://qcloudimg.tencent-cloud.cn/image/document/9870039d5494e37aca78a0e955c3e8b5.png)
1. 在导航栏选择应用授权,在应用授权页面单击用户组授权,然后单击新增授权。
![](https://qcloudimg.tencent-cloud.cn/image/document/fa531a72d87e77c04046305ffcca8883.png)
2. 在弹出的新增授权页面选择创建好的 EIAM 应用,然后单击下一步:选择用户组。
![](https://qcloudimg.tencent-cloud.cn/image/document/b325639926c1696e0a862624a9d8e3d8.png)
3. 在选择用户组页签勾选待授权的用户组,然后单击下一步:完成。
![](https://qcloudimg.tencent-cloud.cn/image/document/94cd34039eaf4a5bca8fb8fd2b164a27.png)
SSL VPN 配置
创建 SSL VPN 网关
1. 登录 私有网络控制台,在左侧导航栏中选择 VPN 连接 > VPN 网关,进入管理页。
2. 在 VPN 网关管理页面,单击新建,并在弹出的新建 VPN 网关页面依据界面参数配置 SSL VPN 网关。
![](https://qcloudimg.tencent-cloud.cn/image/document/f96172fdb911248ebfd95f851ed74300.png)
3. SSL VPN 网关参数配置完成后单击创建。
创建 SSL 服务端
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端,进入管理页。
2. 在 SSL 服务端管理页面,单击新建,在弹出的新建 SSL 服务端对话框中依据界面参数配置 SSL 服务端。
![](https://qcloudimg.tencent-cloud.cn/image/document/63e57fd3a9b8d5166327e27d9769310c.png)
参数名称 | 参数说明 |
名称 | 填写 SSL 服务端名称,不超过60个字符。 |
地域 | 展示 SSL 服务端所在地域。 |
VPN 网关 | 选择创建好的 SSL VPN 网关。 |
云端网段 | 客户移动端访问的云上网段。 |
客户端网段 | 分配给用户移动端进行通信的网段,该网段请勿与腾讯侧 VPC CIDR 冲突。 |
协议 | 服务端传输协议。 |
端口 | 填写 SSL 服务端用于数据转发的端口。 |
认证算法 | 目前支持 SHA1 和 MD5 两种认证算法。 |
加密算法 | 目前支持 AES-128-CBC、AES-192-CBC 和 AES-256-CBC 加密算法。 |
是否压缩 | 否。 |
访问控制 | 选择开启。 说明: 如果您需要使用该功能,请联系腾讯技术支持进行申请。 |
认证方式 | 选择“证书认证+身份认证”。 |
EIAM 应用 | 选择在 EIMA 创建好的应用。 |
配置访问控制策略
1. 在左侧导航栏中选择 VPN 连接 > SSL 服务端,进入管理页。
2. 在 SSL 服务端列表单击具体是实例 ID。
3. 在 SSL 服务端详情页面单击访问控制,并单击新增策略,然后依据界面信息配置策略信息。
![](https://qcloudimg.tencent-cloud.cn/image/document/4a9882d6901d0e2e25bd20e589e77e54.png)
参数名称 | 参数说明 |
目的端 | 填写需要本端 IP 网段,即访问云上的 IP 网段。 说明: 目的端网段需要与本端网段在同一网段内,若更改本端网段,需主动修改访问控制的目的端地址。 |
访问权限 | 选择特定的用户组,选择该项后需要配置访问组 ID。 |
访问组 ID | 选择被允许访问的用户组。 |
备注 | 必填,填写策略的备注信息,方便您后续识别策略信息。 |
4. 完成配置后,单击确定。
(可选)创建 SSL 客户端
说明
1. 在左侧导航栏中选择 VPN 连接 > SSL 客户端,进入管理页。
2. 在新建 SSL 客户端对话框中设置客户端名称和选择待连接的 SSL 服务端,然后单击确定。
![](https://qcloudimg.tencent-cloud.cn/image/document/27577036b7c374eed7a8d41fd96ef29a.png)
在 Client VPN 门户下载 SSL 客户端配置文件和 SSL 客户端
1. 登录 腾讯云 Clinet VPN 自主服务门户。
2. 在 SSL 服务端 ID 所在行的输入框中输入创建好的 SSL 服务端 ID,然后单击下一步,进入登录界面。
![](https://qcloudimg.tencent-cloud.cn/image/document/f2477a81971d982e9b46c48a74c906fd.png)
3. 登录腾讯云 Clinet VPN 自主服务门户。
使用 EIAM 创建的用户密码进行登录,本文以此为例。
![](https://qcloudimg.tencent-cloud.cn/image/document/ec17fddd9b3cc2ba2e8e0b37f829269b.png)
4. 在下载SSL客户端配置文件区域找到您需要下载的客户端配置文件,单击下载。
![](https://qcloudimg.tencent-cloud.cn/image/document/3b9bb52b1a710e4e211e5e99849dd9b2.png)
![](https://qcloudimg.tencent-cloud.cn/image/document/3b9bb52b1a710e4e211e5e99849dd9b2.png)
5. 在下载 SSL 客户端区域找到适合您的 SSL 客户端,单击下载。
本文以 MAC 为例,单击下载后跳转至 OpenVPN 官网,您可以在官网下载。
![](https://qcloudimg.tencent-cloud.cn/image/document/301d130474184d5d9ee6088b25b60e43.png)
SSL 客户端安装与连接
1. 在本地解压安装包,双击安装程序依据界面提示进行安装。
![](https://qcloudimg.tencent-cloud.cn/image/document/4ab797e7c6bc8a65668ae88e775fee74.png)
2. SSL 客户端安装完成后,选择 “Import Profile” 菜单中的 “FILE” 页面,上传已下载的 SSL 客户端配置文件(.ovpn 格式)。
![](https://qcloudimg.tencent-cloud.cn/image/document/cf767f7094685c8ac203d9f00a5c376d.png)
3. 上传成功后,选择 connect 进行连接。
![](https://qcloudimg.tencent-cloud.cn/image/document/1b2f18e99c940becef5aa3bd8e07ba50.png)
4. Profiles 连接中,请稍候。
![](https://qcloudimg.tencent-cloud.cn/image/document/33ab1d0d04e9c2ec3c5953953d02b0cc.png)
5. 进行认证登录。
![](https://qcloudimg.tencent-cloud.cn/image/document/127e8e39792d2e501f397bc285ceceec.png)
6. 连接成功。
![](https://qcloudimg.tencent-cloud.cn/image/document/91a382ae7639eeda57b123795633577b.png)