本节介绍了如何在 Cloud Web Security 中使用 SaaS 标头限制来限制租户对指定“软件即服务”(Software as a Service, SaaS) 应用程序(如 Office 365 和 G Suite)的访问权限,概述了配置 SaaS 标头限制规则的工作流,最后还提供了有关本主题的其他资源。
概览
以前,在公司希望管理访问权限时,他们会限制域名或 IP 地址。在软件即服务 (SaaS) 应用程序托管在公有云中并在共享域名上运行的环境中,此方法会失败。例如,如果企业使用 Office 365,他们将使用 outlook.office.com
和 login.microsoftonline.com
等域名。在 Microsoft 示例中,阻止这些地址会使用户完全无法访问 Outlook 网页版,而不是限制用户只能访问已批准的标识和资源。
解决该问题的方法是限制租户访问,而 Cloud Web Security 可以通过使用 SaaS 标头限制功能来实现这一点。借助此功能,管理员可以在 Office 365 和 G Suite 等 SaaS 服务中强制执行租户限制策略。例如,您可能希望允许所有员工访问 Office 365 企业帐户,但禁止他们访问个人帐户。为此,可以通过插入 HTTP 标头以指定允许的租户来实现这些限制。
配置 SaaS 标头限制
用户可以通过执行以下步骤来配置 SaaS 标头限制规则:
- 导航到 。
- 在 SaaS 标头限制 (SaaS Header Restrictions) 屏幕上,单击 + 添加规则 (+ ADD RULE) 以配置 SaaS 标头限制规则。
此时将显示
屏幕。 - 在源 (Source) 屏幕中,选择所有用户和组 (All Users and Groups) 以将 SaaS 标头规则应用于企业中的每个人。默认情况下该选项处于选中状态。取消选中此选项,然后选择指定用户 (Specify User(s)) 和指定组 (Specify Group(s)) 字段以指定规则将应用到的一个或多个用户和/或组。
单击下一步 (Next),将显示目标 (Destination) 屏幕。
- 在目标应用程序 (Destination Application) 屏幕中,用户具有两种路径:“预定义”(Predefined) 或“自定义”(Custom)。
- 预定义目标应用程序:从六个预定义应用程序中选择一个:“Office 365 - 企业版”(Office 365 - Enterprise)、“Office 365 - 消费者版”(Office 365 - Consumer)、“G Suite”、“Slack”、“YouTube”和“Dropbox”。每个预配置的应用程序都包含该应用程序的受限域名和标头。根据应用程序,用户可能需要手动配置其他信息,如下所述:
- Office 365 - 企业版 (Office 365 - Enterprise) 具有了两个必须经过配置才能完成规则的额外参数:
- 标头 1: Restrict-Access-To-Tenants (Header 1: Restrict-Access-To-Tenants) 输入允许的租户列表。Cloud Web Security 将阻止任何未被列为允许的内容。
- 标头 2: Restrict-Access-Context (Header 2: Restrict-Access-Context) 输入企业所用服务的租户 ID。用户需要配置用于 Office 365 订阅的租户 ID。Cloud Web Security 将阻止任何未列出的租户 ID。
- Office 365 - 消费者版 (Office 365 - Consumer):与企业版相比,无需进行额外配置,因为 restrict-msa 值将传递到 sec-Restrict-Tenant-Access-Policy 标头。
- G Suite:输入您在 Google Workspace 中注册的域以及您添加的任何辅助域。
- Slack 具有了两个必须经过配置才能完成规则的额外参数:
- 标头 1: X-Slack-Allowed-Workspaces-Requester (Header 1: X-Slack-Allowed-Workspaces-Requester) 输入代表您的业务或企业网格帐户的工作区或组织 ID 的值。Cloud Web Security 将阻止任何未被列为允许的内容。
- 标题 2: X-Slack-Allowed-Workspaces (Header 2: X-Slack-Allowed-Workspaces) 输入允许的工作区和/或组织 ID 的列表。Cloud Web Security 将阻止任何未列出的 ID。
- YouTube:要完成规则,您需要指定您希望 YouTube 的限制模式 (Restrict Mode) 是严格 (Strict) 还是中等 (Moderate)。根据 YouTube 文档管理贵组织的 YouTube 设置,“限制模式”(Restrict Mode) 定义如下:
- 严格限制的 YouTube 访问 (Strict Restricted YouTube access) - 尽管此设置限制性最高,但不会阻止所有视频。“严格限制模式”(Strict Restricted Mode) 会根据自动系统筛选掉许多视频,但会保留一些视频以供观看。
- 中等限制的 YouTube 访问 (Moderate Restricted YouTube access) - 此设置类似于“严格限制模式”(Strict Restricted Mode),但会提供数量更多的视频。
- Dropbox:输入业务帐户的团队 ID 的值,因为这将是 Cloud Web Security 允许的唯一 ID。
注: 对于任何预定义应用程序,如果需要其他配置,并且您不确定这些值代表什么意思,请联系该应用程序的客户代表。 - Office 365 - 企业版 (Office 365 - Enterprise) 具有了两个必须经过配置才能完成规则的额外参数:
- 自定义目标应用程序要求您输入 SaaS 应用程序域名以及与该应用程序关联的所有标头值。由于这是一个自定义应用程序,因此您需要访问该应用程序的网站和/或联系客服代表,以便先确认是否支持通过使用标头来限制租户,然后找到域名和标头值以确保该规则配置正确。
注: 并非所有 SaaS 应用程序都支持通过使用标头限制租户,在配置自定义应用程序时,请务必确认要限制的应用程序支持此功能。只需确认之前列出的预定义应用程序与 SaaS 标头限制兼容。
单击下一步 (Next),将显示名称、原因和标记 (Name, Reasons, and Tags) 屏幕。
- 预定义目标应用程序:从六个预定义应用程序中选择一个:“Office 365 - 企业版”(Office 365 - Enterprise)、“Office 365 - 消费者版”(Office 365 - Consumer)、“G Suite”、“Slack”、“YouTube”和“Dropbox”。每个预配置的应用程序都包含该应用程序的受限域名和标头。根据应用程序,用户可能需要手动配置其他信息,如下所述:
- 在名称、原因和标记 (Name, Reason, and Tags) 屏幕中,配置唯一的规则名称(必需)、原因(如果需要)、标记(如果使用)以及规则在 URL 筛选规则列表中的位置(选项为“列表顶部”(Top of List) 或“列表底部”(Bottom of List))。
- 单击完成 (Finish) 后,新创建的规则将显示在 SaaS 标头限制 (SaaS Header Restriction) 列表中并应用此规则。
预定义应用程序的其他资源
以下是预定义应用程序目标的文档链接,可让您更好地了解如何通过标头对每个应用程序进行租户限制。
- Microsoft Office 365
- G Suite
- Slack
- YouTube
- Dropbox