飞连
飞连
- 文档首页
飞连管理员指南身份账号配置配置高级认证与访问策略
文档反馈
问问助手飞连的高级认证与访问策略通过条件访问控制机制,为企业提供动态的身份验证与应用准入能力。您可以根据员工的登录场景、设备环境、所属账号范围等维度,定制个性化的安全准入流程,避免一刀切的管控模式。
根据拦截时机的不同,策略分为以下两类场景:
场景类型 | 场景名称 | 拦截时机 | 核心价值 |
|---|---|---|---|
登录场景 | 门户网站登录、桌面端登录、移动端登录、员工入网 Portal、管理后台登录 | 用户启动飞连客户端或尝试进入办公空间时。 | 入口防护:定义不同环境下允许使用的身份验证方式,防止非法登录。 |
应用访问 | 应用访问 | 用户在办公门户点击开启具体的 SSO 应用时。 | 持续验证:确保即便已登录飞连,在访问敏感应用时仍需满足设备基线或二次认证要求。 |
- 登录管理后台。
- 在左侧导航栏选择身份 > 账号配置 > 高级认证配置。
- 首次使用时请点击页面中部的按钮开启高级认证策略。
- 在弹窗中点击开启确认开启高级认证策略。开启后后需重新登录管理后台,且门户与管理后台的登录台将不再共享。
本场景用于定义用户在登录飞连时的身份验证强度、环境门槛及登录态有效期。
配置步骤
- 在高级认证配置页面,单击添加策略。
- 在弹窗中选择对应的登录场景并指定生效单位,点击确定。
- 在策略配置页面,完成以下配置,并单击页面底部的完成。
基础信息
配置项
是否必填
说明
策略名称
是
自定义名称,用于标识当前策略。
策略描述
否
策略相关的详细描述、注意事项等信息。
优先级
是
策略生效的优先级。数值越大优先级越高。系统默认存在优先级为 0 的认证策略,如需生效自定义策略,需确保自定义策略优先级大于 0。
逻辑规则如下:- 高优先级阻断区:建议将阻断策略设为 100,确保优先拦截高风险访问。
- 普通配置区:建议将常规认证策略设在 1-99 之间。
- 同级从严:若优先级数值相同,系统按“阻断 > 二次认证 > 通过”的顺序从严执行。
- 默认兜底:若未匹配到任何自定义策略,则执行优先级为 0 的系统默认策略。
单位
是
只读配置项,不允许修改。
策略配置
配置项
是否必填
说明
检测登录环境
否
定义进入登录流程的安全准入门槛。
启用后需配置检测项。只有通过检测项的用户或设备可以进行登录。多个条件之间支持设置且、或逻辑关系配置用户可选的一次认证方式
是
设置用户可以选择的登录方式,支持拖拽调整认证方式展示的优先级。
定义用户在登录页面看到的认证选项**。**
勾选并拖拽调整排序,决定用户登录时可选的方式及页面上认证图标的排列顺序。
注意:- 此列表的内容依赖于身份认证或认证源管理中的配置**。**如果您在此处看不到预期的认证方式,请先前往对应的功能模块完成配置。
- 认证方式受登录场景约束。当场景为桌面端登录或移动端登录时,系统将自动隐藏“快速登录”选项。
配置生效账号范围
是
限定当前策略的受众范围,可指定全员或特定部门、角色、员工生效。通过“且/或”逻辑,可实现精细化的人群覆盖。
用户使用的一次认证方式
否
认证分流,用于对不同的登录手段实施差异化的安全强度控制。您可以允许用户在界面上看到多种登录选项,但仅针对其中安全性较低的方式强制执行额外的安全检查(如二次认证或阻断),实现“弱认证强制补强,强认证静默放行”的平衡策略,兼顾办公便捷性与系统安全性。
若终端用户登录时选用的方式落在本项勾选的范围内,系统将继续执行本策略后续的处置方式(如阻断或二次认证);若用户选用的方式不在范围内,系统将跳过本策略,继续匹配其他低优先级策略(若有)或默认的兜底策略。配置一次认证后的处置方式
是
选择用户完成一次认证后的处理逻辑。
- 允许:直接通过认证。
- 需要二次认证:需进一步验证。选择此项后,下方将显示二次认证方式配置项,支持拖拽调整认证方式展示的顺序。
- 阻断:直接终止登录。下方的登录有效期配置将不生效。支持配置多语言提示文案,用于在用户被拦截时显示原因,文案示例:“当前登录不满足安全要求,已拒绝访问”。
用户使用的二次认证方式
否
本配置项仅在勾选需要二次认证后显示。
可选择全部或部分,如果选择部分,则需要选择一个或多个用户使用的二次认证方式。配置该范围后,如果用户使用的是该范围内的二次认证方式,则会继续按照当前策略生效后续配置项。配置登录有效期
是
用户登录后登录态的相关配置。不同登录场景的有效期配置可能不同,请以实际页面展示的配置项为准。
- 有效期:登录态的有效期,默认 20 天,支持自定义。
- 自动续期:选择是否开启,开启后登录态存续期间,如果存在活跃操作将自动续期。
- 跟随浏览器会话:选择是否开启,开启后关闭浏览器会清除登录态。
场景示例
示例一:内网环境强制二次认证
管理目标:部门 A 内员工在内网环境使用账号密码登录后,必须通过短信验证码完成二次认证,且登录有效期为 20 天。
配置示例:
配置项
配置操作
检测登录环境
开启并配置条件,检测员工登录 IP 属于内网环境。
配置用户可选的一次认证方式
选择“账号登录”。
配置生效账号范围
选择“部分用户”,并指定“员工 A”。
配置一次认证后的处置方式
选择”需要二次认证“,并勾选“短信验证码”。
配置登录有效期
选择 20 天。
示例二:高风险人群差异化访问管控
管理目标:非部门 A 员工可在家办公,但部门 A 员工严禁在外网登录。
配置思路:通过配置两条不同优先级的策略实现精准拦截与常规放行的组合管控:
- 策略 X(高优先级):针对部门 A 配置外网环境下的直接阻断(拦截逻辑)。
- 策略 Y(低优先级):针对全体员工配置通用的登录权限(放行逻辑)。
关键字段配置示例:
创建策略 X
配置项
配置操作
优先级
设置为 100(确保高于通用策略)。
检测登录环境
启用。添加条件为“登录 IP”不属于“公司内网地址段”。
配置生效账号范围
选择“部分用户”,并指定“部门 A”。
用户使用的一次认证方式
默认选择“全部”。
配置一次认证后的处置方式
选择“阻断”。
创建策略 Y
配置项
配置操作
优先级
设置为 10。
检测登录环境
不启用。
配置生效账号范围
选择“全部用户”。
用户使用的一次认证方式
默认选择“全部”。
配置一次认证后的处置方式
选择“允许”,或“需要二次认证”以增加安全性。
配置原理解析:
- 当部门 A 员工在外网登录时,系统会优先匹配到高优先级的策略 X,触发阻断并展示提示文案。由于该策略已生效,系统便不再向下匹配。
- 当普通员工(非部门 A 人员)在外网登录时,由于不命中策略 A 的账号范围,系统会继续向下匹配,最终命中低优先级的策略 Y 并成功登录。
本场景用于针对特定的 SSO 应用(如财务系统、代码仓库)设置准入门槛,实现登录后的持续性安全校验。
- 在高级认证配置页面,单击添加策略。
- 在弹框中选择应用访问,并指定生效单位。
- 在策略配置页面,完成以下配置,并单击页面底部的完成。
基础信息
配置项
是否必填
说明
策略名称
是
自定义名称,用于标识当前策略。
策略描述
否
策略相关的详细描述、注意事项等信息。
优先级
是
策略生效的优先级。数值越大优先级越高。
逻辑规则如下:- 高优先级阻断区:建议将阻断策略设为 100 及以上,确保优先拦截高风险访问。
- 普通配置区:建议将常规认证策略设在 1-99 之间。
- 同级从严:若优先级数值相同,系统按“阻断 > 二次认证 > 通过”的顺序从严执行。
单位
是
只读配置项,不允许修改。
策略配置
配置项
是否必填
说明
配置应用范围
是
定义本条策略生效的具体目标应用。需配置一下参数:- 选择方式
- 应用:按应用名称直接勾选已接入 SSO 的应用。
- 标签:按应用标签进行关联,方便对同类型应用进行批量管控。注意,标签需预先在单点登录应用的基本信息中配置。
- 应用范围
- 全部:本策略对所有已接入的 SSO 应用生效。
- 部分:通过搜索应用名称或标签,手动指定受控应用名单。
检测环境
否
配置是否启用环境监测项,定义访问该应用的安全准入门槛。- 不启用:不对访问环境进行额外限制。
- 启用:开启后,系统在用户点击应用时进行实时环境扫描。支持配置以下多个检测维度(各条件间支持“且/或”逻辑)。
- 当前时间:限制应用仅在特定时间段内可访问(如:仅限工作时间访问核心业务系统)。
- 登录 IP:检测用户当前的 IP 地址。可用于限制仅内网访问,或阻断来自高风险地区的 IP。
- User-Agent:识别访问应用时所使用的浏览器类型及操作系统版本。可用于强制要求使用公司指定的浏览器访问。
- 距离上次二次认证时间:检测用户距离上一次完成 MFA 验证的时间间隔。用户长时间未验证身份后,再次访问敏感应用将触发安全动作。
- 当前用户使用的一次认证方式:基于用户最初登录飞连时的手段进行分流。例如:若用户是使用“账号密码”这种弱认证方式登录的,访问此应用时需满足更严格的环境条件。
配置生效账号范围
是
限定当前策略的受众范围,可指定全员或特定部门、角色、员工生效。通过“且/或”逻辑,可实现精细化的人群覆盖。配置处置方式
是
当满足上述“应用、环境、账号”条件后,系统执行的最终安全动作。
- 通过:满足条件后,直接放行进入目标应用系统。
- 需要二次认证:用户点击应用后,系统会弹出二次认证窗口。用户需通过指定的二次验证后方可进入应用。
- 阻断:禁止访问该应用。开启后支持配置多语言提示文案,用于向用户解释拦截原因(如:“检测到您的设备未开启磁盘加密,暂无法访问核心业务系统”)。
- 选择方式
在高级认证配置的策略列表页面,管理员可以对已创建的策略进行精细化管理。
全局开关控制
列表页右上角提供了关闭/开启高级认证的全局总开关,用于一键控制整个高级认证模块的状态。
- 功能说明
- 关闭高级认证:点击此按钮并确认后,系统将停用所有已配置的“登录场景”和“应用访问”策略。此时,所有账号的登录和访问行为将回退至系统默认的认证状态。
- 开启高级认证:若功能处于关闭状态,点击相应按钮即可重新启用。开启后,列表内处于开启状态的策略将重新生效。
- 注意事项
- 关闭高级认证后,当前的管理员会话将立即失效,需要重新登录管理后台。
- 关闭高级认证后,飞连将不再对门户网站与管理后台进行登录隔离。即在同一浏览器环境下,只要登录了门户网站,即可直接访问管理后台(无需再次验证身份)。这在提升管理便利性的同时,也会相应降低后台的访问安全性,请谨慎操作。
- 该操作会影响全员的登录体验与应用安全性,建议仅在系统调试、紧急排障或认证架构重大调整时使用。
优先级管理
飞连严格执行“由上至下匹配,匹配即停止”的原则。因此,策略的排列顺序至关重要。
- 调整方式:点击策略左侧的优先级气泡,左右拖拽数值条或手动输入数值以改变策略生效优先级。保存后,列表将根据数值自动重新排序。
- 管理建议:先特殊,后通用。将针对特定高风险人群或敏感应用的策略设为高优先级;将全员生效的通用登录策略设为低优先级,作为兜底。
策略生命周期管理
操作 | 说明 |
|---|---|
生效开关 | 通过列表右侧的开关可实时启用或停用策略。停用策略不会删除配置,方便在业务变更或排障时快速回滚。适用于临时调整或灰度测试。 |
编辑 | 点击编辑进入详情页,可修改策略应用范围、环境检测项或处置方式。修改后立即对后续访问生效。 |
复制 | 点击复制可克隆当前策略的所有配置并进入创建页面。适用于相似场景的快速部署(如:已配置了“财务系统访问策略”,需快速创建一个类似的“人力资源系统访问策略”)。 |
删除 | 清理废弃策略。注意:策略一经删除不可恢复,且对应的高级认证配置不再生效作。建议删除前请确认是否有更低优先级的策略能够覆盖相关人群,避免出现安全真空。 |
策略搜索与过滤
当策略数量较多时,可使用列表顶部的工具快速定位目标策略,提升管理效率。
- 搜索策略名称:在搜索框中输入关键字,按策略名称进行模糊搜索。
- 按生效状态筛选:通过下拉菜单选择“生效”或“未生效”,快速查看当前正在生效或处于停用状态的策略。
- 按生效场景筛选:支持按具体的登录场景和应用访问场景筛选。
- 按生效单位筛选:在多分支机构或多中心场景下,快速切换查看不同单位的策略部署情况。
- 按应用范围筛选:针对应用访问场景,可在输入框内搜索具体应用名称。系统将过滤出所有涉及该应用的策略。