本节介绍了如何在 Cloud Web Security 中使用 SaaS 标头限制来限制租户对指定“软件即服务”(Software as a Service, SaaS) 应用程序(如 Office 365 和 G Suite)的访问权限,概述了配置 SaaS 标头限制规则的工作流,最后还提供了有关本主题的其他资源。

概览

以前,在公司希望管理访问权限时,他们会限制域名或 IP 地址。在软件即服务 (SaaS) 应用程序托管在公有云中并在共享域名上运行的环境中,此方法会失败。例如,如果企业使用 Office 365,他们将使用 outlook.office.comlogin.microsoftonline.com 等域名。在 Microsoft 示例中,阻止这些地址会使用户完全无法访问 Outlook 网页版,而不是限制用户只能访问已批准的标识和资源。

解决该问题的方法是限制租户访问,而 Cloud Web Security 可以通过使用 SaaS 标头限制功能来实现这一点。借助此功能,管理员可以在 Office 365 和 G Suite 等 SaaS 服务中强制执行租户限制策略。例如,您可能希望允许所有员工访问 Office 365 企业帐户,但禁止他们访问个人帐户。为此,可以通过插入 HTTP 标头以指定允许的租户来实现这些限制。

配置 SaaS 标头限制

用户可以通过执行以下步骤来配置 SaaS 标头限制规则:
  1. 导航到 Cloud Web Security > 配置 (Configure) > SaaS 标头限制 (SaaS Header Restrictions)
  2. SaaS 标头限制 (SaaS Header Restrictions) 屏幕上,单击 + 添加规则 (+ ADD RULE) 以配置 SaaS 标头限制规则。

    此时将显示 SaaS 标头 (SaaS Header) > 源 (Source) 屏幕。

  3. 源 (Source) 屏幕中,选择所有用户和组 (All Users and Groups) 以将 SaaS 标头规则应用于企业中的每个人。默认情况下该选项处于选中状态。取消选中此选项,然后选择指定用户 (Specify User(s))指定组 (Specify Group(s)) 字段以指定规则将应用到的一个或多个用户和/或组。

    单击下一步 (Next),将显示目标 (Destination) 屏幕。

  4. 目标应用程序 (Destination Application) 屏幕中,用户具有两种路径:“预定义”(Predefined) 或“自定义”(Custom)。
    1. 预定义目标应用程序:从六个预定义应用程序中选择一个:“Office 365 - 企业版”(Office 365 - Enterprise)、“Office 365 - 消费者版”(Office 365 - Consumer)、“G Suite”、“Slack”、“YouTube”和“Dropbox”。每个预配置的应用程序都包含该应用程序的受限域名和标头。根据应用程序,用户可能需要手动配置其他信息,如下所述:
      1. Office 365 - 企业版 (Office 365 - Enterprise) 具有了两个必须经过配置才能完成规则的额外参数:
        1. 标头 1: Restrict-Access-To-Tenants (Header 1: Restrict-Access-To-Tenants) 输入允许的租户列表。Cloud Web Security 将阻止任何未被列为允许的内容。
        2. 标头 2: Restrict-Access-Context (Header 2: Restrict-Access-Context) 输入企业所用服务的租户 ID。用户需要配置用于 Office 365 订阅的租户 ID。Cloud Web Security 将阻止任何未列出的租户 ID。
      2. Office 365 - 消费者版 (Office 365 - Consumer):与企业版相比,无需进行额外配置,因为 restrict-msa 值将传递到 sec-Restrict-Tenant-Access-Policy 标头。

      3. G Suite:输入您在 Google Workspace 中注册的域以及您添加的任何辅助域。

      4. Slack 具有了两个必须经过配置才能完成规则的额外参数:
        1. 标头 1: X-Slack-Allowed-Workspaces-Requester (Header 1: X-Slack-Allowed-Workspaces-Requester) 输入代表您的业务或企业网格帐户的工作区或组织 ID 的值。Cloud Web Security 将阻止任何未被列为允许的内容。
        2. 标题 2: X-Slack-Allowed-Workspaces (Header 2: X-Slack-Allowed-Workspaces) 输入允许的工作区和/或组织 ID 的列表。Cloud Web Security 将阻止任何未列出的 ID。
      5. YouTube:要完成规则,您需要指定您希望 YouTube 的限制模式 (Restrict Mode)严格 (Strict) 还是中等 (Moderate)。根据 YouTube 文档管理贵组织的 YouTube 设置,“限制模式”(Restrict Mode) 定义如下:
        • 严格限制的 YouTube 访问 (Strict Restricted YouTube access) - 尽管此设置限制性最高,但不会阻止所有视频。“严格限制模式”(Strict Restricted Mode) 会根据自动系统筛选掉许多视频,但会保留一些视频以供观看。
        • 中等限制的 YouTube 访问 (Moderate Restricted YouTube access) - 此设置类似于“严格限制模式”(Strict Restricted Mode),但会提供数量更多的视频。

      6. Dropbox:输入业务帐户的团队 ID 的值,因为这将是 Cloud Web Security 允许的唯一 ID。

      注: 对于任何预定义应用程序,如果需要其他配置,并且您不确定这些值代表什么意思,请联系该应用程序的客户代表。
    2. 自定义目标应用程序要求您输入 SaaS 应用程序域名以及与该应用程序关联的所有标头值。由于这是一个自定义应用程序,因此您需要访问该应用程序的网站和/或联系客服代表,以便先确认是否支持通过使用标头来限制租户,然后找到域名和标头值以确保该规则配置正确。
      注: 并非所有 SaaS 应用程序都支持通过使用标头限制租户,在配置自定义应用程序时,请务必确认要限制的应用程序支持此功能。只需确认之前列出的预定义应用程序与 SaaS 标头限制兼容。

    单击下一步 (Next),将显示名称、原因和标记 (Name, Reasons, and Tags) 屏幕。

  5. 名称、原因和标记 (Name, Reason, and Tags) 屏幕中,配置唯一的规则名称(必需)、原因(如果需要)、标记(如果使用)以及规则在 URL 筛选规则列表中的位置(选项为“列表顶部”(Top of List) 或“列表底部”(Bottom of List))。

  6. 单击完成 (Finish) 后,新创建的规则将显示在 SaaS 标头限制 (SaaS Header Restriction) 列表中并应用此规则。

预定义应用程序的其他资源