You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/零信任接入/应用管理/管理 Web 应用/管理 Web 应用
管理 Web 应用
最近更新时间:2025.09.23 15:42:36首次发布时间:2025.09.23 15:42:36
复制全文
我的收藏
有用
有用
无用
无用

本文档旨在指导您如何通过飞连的应用网关功能,安全地将企业内网的 Web 应用发布至公网。该功能允许授权用户在无需安装客户端、无需连接 VPN 的情况下,通过浏览器即可远程访问内部应用,是实现零信任访问和安全外部协作的关键。

新增 Web 应用

此步骤的目标是根据您应用的域名结构,选择合适的发布类型,并创建一个从公网到内网的安全访问代理。

  1. 登录管理后台。
  2. 在左侧导航栏,选择 零信任接入 > 应用管理
  3. 应用管理 页面,切换到 Web 应用 页签。
  4. 单击页面右上角的 + 创建应用 按钮。
  5. 在弹出的 添加应用 对话框中,根据您的需求选择一种应用类型:
    • 标准代理应用:适用于为单个或少数几个具有独立域名的应用进行发布。这是最常用的类型。
    • 泛域名应用:适用于您需要一次性发布共享同一个主域名的多个子应用。
  6. 根据所选应用类型完成配置并点击确定。

配置标准代理应用

如果您选择了 标准代理应用,请在配置页面完成以下设置:

  • 基本信息

    配置项

    说明

    应用图标

    为您的应用设置一个直观的图标,将展示在用户的应用门户中。

    应用名称

    自定义名称,用于标识该 Web 应用。

    应用访问地址

    用户在浏览器中实际输入的公开访问 URL。例如 https://oa.yourcompany.com

    应用描述

    对该应用的用途进行简要描述。

  • 应用功能

    配置项

    说明

    应用网关

    默认勾选,不可更改。其核心价值在于无需下载飞连客户端且无需连接 VPN,实现远程访问内网应用。

    发布方式

    定义如何为您的应用提供公网域名。

    • 自有域名:使用您公司自己注册和管理的域名。您需要拥有该域名的管理权限以完成 DNS 配置。
      • 应用域名:完整填写您计划用于公网访问的前端域名地址。
      • 转发模式:定义流量如何转发到后端服务器。
        • 单服务器:适用于只有一个后端应用服务器的场景。
        • 负载均衡:适用于有多个后端应用服务器的集群场景。
      • 后端服务器组:配置应用在企业内网的真实服务地址
      • DNS 参数:单击 + 添加发布网关,选择关联应用的发布网关。后续员工在访问应用时,访问请求先通过应用网关,应用网关会获取请求数据,根据数据内包含的用户身份信息进行身份验证,并根据不同的员工身份权限转发请求。如果应用网关还未添加至飞连,则您需要先添加应用网关。具体操作,请参见管理应用网关

        注意

        填写完应用网关配置项之后,您还需要前往域名解析服务商控制台,将应用解析地址指向应用网关。操作示例,请参见配置应用域名解析(DNS)

    • 托管域名:使用由飞连提供的域名,适用于快速测试或没有自有域名的场景。
      • 应用域名:您只需在输入框中填写一个自定义的域名前缀,系统会自动为您生成一个完整的、可公开访问的域名。
      • 应用访问路径:如需启用单点登录功能,请在此处填写该应用的登录路径。
      • 后端服务器组:配置应用在企业内网的真实服务地址

配置泛域名应用

如果您选择了 泛域名应用,请在配置页面完成以下设置:

  • 基本信息

    配置项

    说明

    应用图标

    为您的应用设置一个直观的图标,将展示在用户的应用门户中。

    应用名称

    自定义名称,用于标识该 Web 应用。

    应用访问地址

    用户在浏览器中实际输入的公开访问 URL。例如 https://oa.yourcompany.com

    应用描述

    对该应用的用途进行简要描述。

  • 应用功能

    配置项

    说明

    应用网关

    默认勾选,不可更改。其核心价值在于无需下载飞连客户端且无需连接 VPN,实现远程访问内网应用。

    应用域名

    在此处输入您的泛域名。例如 *.example.com

    证书配置

    由于泛域名需要处理 HTTPS 流量,您必须选择或上传一个与该泛域名匹配的SSL证书,以确保加密通信的安全。具体操作参看管理 SSL 证书

    DNS 参数

    单击 + 添加发布网关,选择关联应用的发布网关。后续员工在访问应用时,访问请求先通过应用网关,应用网关会获取请求数据,根据数据内包含的用户身份信息进行身份验证,并根据不同的员工身份权限转发请求。如果应用网关还未添加至飞连,则您需要先添加应用网关。具体操作,请参见管理应用网关

    注意

    填写完应用网关配置项之后,您还需要前往域名解析服务商控制台,将应用解析地址指向应用网关。操作示例,请参见配置应用域名解析(DNS)

配置应用域名解析(DNS)

您需要在您购买和管理域名的平台(即 DNS 服务商,如阿里云、腾讯云、GoDaddy等)上,将您在上一章节中配置的“应用域名”指向飞连提供的网关地址。
本章节以阿里云为例进行操作演示,但其核心原理和配置项适用于所有 DNS 服务商。

  1. 在应用网关内,复制域名解析网关地址。
    • 如果您正在添加应用,则您需要在应用网关列表找到对应的网关,并在域名解析网关地址列单击复制图标。
      Image
    • 如果您已经添加了应用,则您需要进去应用详情页,在应用网关页签下的网关列表,找到对应的网关并在 CNAME 地址列单击复制图标。
      Image
  2. 在 DNS 服务商处添加解析记录。

    1. 登录阿里云云解析 DNS 控制台

    2. 域名解析页面,找到相应的域名,并在操作列单击解析设置
      Image

    3. 解析设置页面,单击添加记录。

    4. 添加记录界面,完成以下配置并单击确认
      Image

      配置项

      填写示例

      说明

      记录类型

      A

      A 记录用于将域名指向一个 IPv4 地址。

      主机记录

      oa

      一般是指子域名的前缀,例如:

      * 域名 `oa.****.com` 对应的主机记录为 `oa`。
  * 域名 `****.com` 对应的主机记录填写 `@`。

      解析请求来源

      默认

      选择默认

      记录值

      47.100.x.x

      粘贴您从飞连管理后台复制的网关 IP 地址

      TTL

      10 分钟

      TTL 代表解析记录在 DNS 服务器上的缓存时间。

    5. 单击确认,完成记录添加。

  3. 等待 DNS 配置生效,返回网关节点服务器,检查配置是否成功。您可以通过以下操作检查域名 A 地址解析到网关地址的状态。
    • 使用命令行工具:
      • 使用 ping 命令,查看返回的 IP 地址是否与您配置的飞连网关 IP 地址一致。命令格式:ping <应用地址>
      • 使用 nslookup 命令,查看解析地址是否为网关 IP 地址。命令格式:nslookup <应用地址>
    • 直接访问配置的应用地址,查看能否跳转到飞连的认证界面。在浏览器中输入您的应用访问地址,查看是否能够成功跳转至飞连的统一身份认证登录页面。

管理 Web 应用

查看应用列表

  1. 登录管理后台。
  2. 在左侧导航栏,选择 零信任接入 > 应用管理
  3. 应用管理 页面,切换到 Web 应用 页签。
  4. Web 应用接入页面查看应用信息,并可以执行以下相关操作:
    • 在页面顶部,可设置应用状态应用场景以及可见范围等筛选条件,过滤指定范围的应用。
    • 在列表内,可查看各应用的基本信息,包括名称、地址和功能。
    • 单击应用名称可进入应用详情页,在详情页查看或配置应用详细信息。具体操作,请参见查看或配置应用详情小节。
    • 单击应用地址,可以快速访问应用。
    • 操作列,可选择停用删除应用。
      • 停用:停用应用后,该应用将处于不可用状态。您可以根据实际情况重新启用该应用。
      • 删除:删除应用后,该应用将不再可用且无法恢复。请谨慎操作。

查看或配置应用详情

  1. 登录管理后台。

  2. 在左侧导航栏,选择 零信任接入 > 应用管理

  3. 应用管理 页面,切换到 Web 应用 页签。

  4. Web 应用页面,找到并单击指定应用名称,进入应用详情页。

  5. 在应用详情页,可以执行以下操作,各功能页签支持的操作说明如下:

    功能页签

    操作说明

    基本信息

    该页签展示应用的基础信息、安全信息以及门户导航配置信息。

    • 基础信息区域:展示应用的图标、名称、描述、分组以及访问地址等信息。您可以在右侧单击编辑,调整基础信息。
    • 安全信息区域:展示应用二次认证的开启状态。您可以在右侧单击编辑,开启或关闭二次认证。开启后,您需要配置二次认证方式二次认证有效期。后续员工登录应用时需要根据配置进行二次认证。
    • 门户导航区域:配置应用在飞连以及其他第三方平台的展示方式。具体配置操作,请参见配置门户导航

    应用网关

    该页签展示当前应用的应用网关配置情况。

    API 访问控制

    该页签内,您可以查看、添加和管理 API 资源。

    • 查看:您可以查看现有的 API 资源组,这些资源按照创建时间排序,最新的资源位于最上方。您还可以通过列表左上角的搜索框,按照资源名称资源路径进行模糊搜索,以查找目标 API 资源。
    • 添加:您可以单击列表右上角的 +添加资源来新增 API 资源,完成以下配置,并单击确定
      • 资源名称:输入资源名称,支持中文和英文,最多 60 个字符。
      • 资源路径:输入资源路径地址,即经过网关处理的 URL 或 URI 路径。您可以使用通配符“”表示匹配任意字符。例如,通配符:url.com/。您也可以指定具体的 URL 或 URI 路径。例如,https://corplink.byted.org:8443/admin/或者 https://corplink.byted.org:8443/image/logo.gif。
      • 请求方式:勾选一个或多个请求方式:
        • GET:请求获取指定页面的信息。
        • POST:向指定资源提交数据以进行处理请求。
        • PUT:从客户端向服务器传输数据,以取代指定文档的内容。
        • DELETE:请求服务器删除指定的页面。
        • OPTIONS:允许客户端查看服务器的性能。

      说明

      添加 API 资源组后,您可以前往动态决策配置 API 访问控制策略。具体配置方法,请参见配置动态决策规则组

      • 管理:您可以在列表的操作列下单击编辑删除来管理当前的资源。您也可以勾选多个资源组,然后单击左下角的批量删除

    应用授权

    该页签内,您可以查看或编辑应用的授权使用范围。

    • 全员启用:该应用在企业内全员可用,无需申请。
    • 部分启用:需要以部门个人角色的维度授权使用范围。例如,在部门权限区域添加研发部,则该应用仅支持研发部内的员工使用。

    说明

    在配置部分启用时,您可以选择开启申请访问应用的开关。开启后,需要在显示的工作流列表中关联所需的工作流(如果没有工作流,需联系企业超级管理员创建工作流,具体操作参见应用使用申请)。完成配置后,具有该应用使用权限的员工可以直接访问,无权限的员工可以通过申请指通过工作流审批获取权限。