飞连
飞连
- 文档首页
飞连管理员指南零信任接入应用网关管理应用网关应用资源管理 Web 应用
文档反馈
问问助手本文档旨在指导您如何通过飞连的应用网关功能,安全地将企业内网的 Web 应用发布至公网。该功能允许授权用户在无需安装客户端、无需连接 VPN 的情况下,通过浏览器即可远程访问内部应用,是实现零信任访问和安全外部协作的关键。
此步骤的目标是根据您应用的域名结构,选择合适的发布类型,并创建一个从公网到内网的安全访问代理。
- 登录管理后台。
- 在左侧导航栏,选择 零信任接入 > 应用管理。
- 在 应用管理 页面,切换到 Web 应用 页签。
- 单击页面右上角的 + 创建应用 按钮。
- 在弹出的 添加应用 对话框中,根据您的需求选择一种应用类型:
- 根据所选应用类型完成基本信息与应用功能配置,并单击确定。
- 系统将自动跳转至该应用的应用授权页签。您可在单应用授权页面配置该应用的基础可见范围。
- 全员启用:该应用在企业内全员可用,无需申请。
- 部分启用:遵循最小化授权原则,应用创建后仅部分人员可用。选择此项后,您可以直接单击 + 添加部门、+ 添加个人或 + 添加角色,为特定对象分配该应用的访问权限。
- 申请访问应用:当选择部分启用时,您还可以开启申请访问应用并关联工作流(如果没有工作流,需联系企业超级管理员创建工作流,具体操作参见应用使用申请)。开启后,无权限的员工可在客户端或门户发起访问申请,审批通过后将自动获得权限。
配置标准代理应用
如果您选择了 标准代理应用,请在配置页面完成以下设置:
基本信息
配置项
说明
应用图标
为您的应用设置一个直观的图标,将展示在用户的应用门户中。
应用名称
自定义名称,用于标识该 Web 应用。
应用访问地址
用户在浏览器中实际输入的公开访问 URL。例如
https://oa.yourcompany.com。应用描述
对该应用的用途进行简要描述。
应用功能
配置项
说明
应用网关
默认勾选,不可更改。其核心价值在于无需下载飞连客户端且无需连接 VPN,实现远程访问内网应用。
发布方式
定义如何为您的应用提供公网域名。
- 自有域名:使用您公司自己注册和管理的域名。您需要拥有该域名的管理权限以完成 DNS 配置。
- 应用域名:完整填写您计划用于公网访问的前端域名地址。
- 转发模式:定义流量如何转发到后端服务器。
- 单服务器:适用于只有一个后端应用服务器的场景。
- 负载均衡:适用于有多个后端应用服务器的集群场景。
- 后端服务器组:配置应用在企业内网的真实服务地址。
- DNS 参数:单击 + 添加发布网关,选择关联应用的发布网关。后续员工在访问应用时,访问请求先通过应用网关,应用网关会获取请求数据,根据数据内包含的用户身份信息进行身份验证,并根据不同的员工身份权限转发请求。如果应用网关还未添加至飞连,则您需要先添加应用网关。具体操作,请参见接入应用网关。
注意
填写完应用网关配置项之后,您还需要前往域名解析服务商控制台,将应用解析地址指向应用网关。操作示例,请参见配置应用域名解析(DNS)。
- 托管域名:使用由飞连提供的域名,适用于快速测试或没有自有域名的场景。
- 应用域名:您只需在输入框中填写一个自定义的域名前缀,系统会自动为您生成一个完整的、可公开访问的域名。
- 应用访问路径:如需启用单点登录功能,请在此处填写该应用的登录路径。
- 后端服务器组:配置应用在企业内网的真实服务地址。
- 自有域名:使用您公司自己注册和管理的域名。您需要拥有该域名的管理权限以完成 DNS 配置。
配置泛域名应用
如果您选择了 泛域名应用,请在配置页面完成以下设置:
基本信息
配置项
说明
应用图标
为您的应用设置一个直观的图标,将展示在用户的应用门户中。
应用名称
自定义名称,用于标识该 Web 应用。
应用访问地址
用户在浏览器中实际输入的公开访问 URL。例如
https://oa.yourcompany.com。应用描述
对该应用的用途进行简要描述。
应用功能
配置项
说明
应用网关
默认勾选,不可更改。其核心价值在于无需下载飞连客户端且无需连接 VPN,实现远程访问内网应用。
应用域名
在此处输入您的泛域名。例如
*.example.com。证书配置
由于泛域名需要处理 HTTPS 流量,您必须选择或上传一个与该泛域名匹配的SSL证书,以确保加密通信的安全。具体操作参看管理 SSL 证书。
DNS 参数
单击 + 添加发布网关,选择关联应用的发布网关。后续员工在访问应用时,访问请求先通过应用网关,应用网关会获取请求数据,根据数据内包含的用户身份信息进行身份验证,并根据不同的员工身份权限转发请求。如果应用网关还未添加至飞连,则您需要先添加应用网关。具体操作,请参见接入应用网关。
注意
填写完应用网关配置项之后,您还需要前往域名解析服务商控制台,将应用解析地址指向应用网关。操作示例,请参见配置应用域名解析(DNS)。
您需要在您购买和管理域名的平台(即 DNS 服务商,如阿里云、腾讯云、GoDaddy等)上,将您在上一章节中配置的“应用域名”指向飞连提供的网关地址。
本章节以阿里云为例进行操作演示,但其核心原理和配置项适用于所有 DNS 服务商。
- 在应用网关内,复制域名解析网关地址。
- 如果您正在添加应用,则您需要在应用网关列表找到对应的网关,并在域名解析网关地址列单击复制图标。
- 如果您已经添加了应用,则您需要进去应用详情页,在应用网关页签下的网关列表,找到对应的网关并在 CNAME 地址列单击复制图标。
- 如果您正在添加应用,则您需要在应用网关列表找到对应的网关,并在域名解析网关地址列单击复制图标。
- 在 DNS 服务商处添加解析记录。
在域名解析页面,找到相应的域名,并在操作列单击解析设置。
在解析设置页面,单击添加记录。
在添加记录界面,完成以下配置并单击确认。
配置项
填写示例
说明
记录类型
A
A 记录用于将域名指向一个 IPv4 地址。
主机记录
oa
一般是指子域名的前缀,例如:
* 域名 `oa.****.com` 对应的主机记录为 `oa`。 * 域名 `****.com` 对应的主机记录填写 `@`。解析请求来源
默认
选择默认。
记录值
47.100.x.x
粘贴您从飞连管理后台复制的网关 IP 地址。
TTL
10 分钟
TTL 代表解析记录在 DNS 服务器上的缓存时间。
单击确认,完成记录添加。
- 等待 DNS 配置生效,返回网关节点服务器,检查配置是否成功。您可以通过以下操作检查域名 A 地址解析到网关地址的状态。
- 使用命令行工具:
- 使用
ping命令,查看返回的 IP 地址是否与您配置的飞连网关 IP 地址一致。命令格式:ping <应用地址>。 - 使用
nslookup命令,查看解析地址是否为网关 IP 地址。命令格式:nslookup <应用地址>。
- 使用
- 直接访问配置的应用地址,查看能否跳转到飞连的认证界面。在浏览器中输入您的应用访问地址,查看是否能够成功跳转至飞连的统一身份认证登录页面。
- 使用命令行工具:
查看应用列表
- 登录管理后台。
- 在左侧导航栏,选择 零信任接入 > 应用管理。
- 在 应用管理 页面,切换到 Web 应用 页签。
- 在 Web 应用接入页面查看应用信息,并可以执行以下相关操作:
- 在页面顶部,可设置应用状态、应用场景以及可见范围等筛选条件,过滤指定范围的应用。
- 在列表内,可查看各应用的基本信息,包括名称、地址和功能。
- 单击应用名称可进入应用详情页,在详情页查看或配置应用详细信息。具体操作,请参见查看或配置应用详情小节。
- 单击应用地址,可以快速访问应用。
- 在操作列,可选择停用或删除应用。
- 停用:停用应用后,该应用将处于不可用状态。您可以根据实际情况重新启用该应用。
- 删除:删除应用后,该应用将不再可用且无法恢复。请谨慎操作。
查看或配置应用详情
- 登录管理后台。
- 在左侧导航栏,选择 零信任接入 > 应用管理。
- 在 应用管理 页面,切换到 Web 应用 页签。
- 在 Web 应用页面,找到并单击指定应用名称,进入应用详情页。
- 在应用详情页,可以执行以下操作,各功能页签支持的操作说明如下:
基本信息
该页签展示应用的基础信息、安全信息以及门户导航配置信息。配置区域
操作说明
基础信息
展示应用的图标、名称、描述以及标签等信息。可单击右侧编辑,调整以下内容:
- 基础参数:修改应用的图标、显示名称及功能描述。
- 标签配置:为当前应用关联逻辑分组标识,支持多选、新增、编辑或删除标签。通过为应用关联合理的标签,您可以在动态控制 > 控制策略中通过“标签”维度实现跨应用的批量策略下发。后续关联该标签的新应用将自动继承相关策略,实现自动化运维。
标签资源可在系统设置 > 资源管理 > 标签库中集中管理。详情参看标签库管理。
安全信息
展示应用二次认证的开启状态。您可以在右侧单击编辑,开启或关闭二次认证。开启后,您需要配置二次认证方式与二次认证有效期。后续员工登录应用时需要根据配置进行二次认证。
门户导航
配置应用在飞连以及其他第三方平台的展示方式。具体配置操作,请参见配置门户导航。
应用网关
该页签展示当前应用的应用网关配置情况。API 访问控制
该页签提供查看、添加和管理 API 资源功能。查看:可查看现有的 API 资源组,这些资源按照创建时间排序,最新的资源位于最上方。您还可以通过列表左上角的搜索框,按照资源名称或资源路径进行模糊搜索,以查找目标 API 资源。
添加:单击列表右上角的 +添加资源来新增 API 资源,完成以下配置,并单击确定。添加 API 资源组后,您可以前往动态决策配置 API 访问控制策略。具体配置方法,请参见配置动态决策规则组。
配置项
配置说明
资源名称
输入资源名称,支持中文和英文,最多 60 个字符。
资源路径
输入资源路径地址,即经过网关处理的 URL 或 URI 路径。您可以使用通配符“”表示匹配任意字符。例如,通配符:url.com/。您也可以指定具体的 URL 或 URI 路径。例如,https://corplink.byted.org:8443/admin/ 或者 https://corplink.byted.org:8443/image/logo.gif。
请求方式
勾选一个或多个请求方式:
- GET:请求获取指定页面的信息。
- POST:向指定资源提交数据以进行处理请求。
- PUT:从客户端向服务器传输数据,以取代指定文档的内容。
- DELETE:请求服务器删除指定的页面。
- OPTIONS:允许客户端查看服务器的性能。
管理:您可以在列表的操作列下单击编辑或删除来管理当前的资源。您也可以勾选多个资源组,然后单击左下角的批量删除。
应用授权
该页签分为三个子页签,分别提供以下能力:- 单应用授权:您可以在此页面调整该应用的基础可见范围,以及开启或关闭员工的申请访问应用入口。
- 授权对象:展示当前有权限访问该应用的所有人员/部门/角色名单。
- 授权组:展示关联了该应用的所有授权组(即批量授权规则)。如需调整,请点击页面上的立即前往跳转提示,或返回外层的 Web 应用 列表页点击右上角的批量授权进行统一管理。详情参考管理批量授权(授权组) 说明。
当企业应用数量较多时,逐一进入每个应用详情页配置权限会导致运维成本极高,且在人员变动时极易产生遗漏。为提升权限运维的效率与安全性,飞连提供了基于“授权组”的批量授权能力。通过建立授权组,您可以一次性将“指定的人群(员工/部门/角色)”与“多个应用(或应用标签)”绑定,并统一设定为“允许访问”或“禁止访问”。这种模型使您能够轻松应对以下复杂场景:
- 场景一:跨应用批量开通权限
当公司新成立业务部门或有新员工入职时,无需逐个应用添加人员。只需新建一个“允许”动作的授权组,将目标人群(如“xx业务部”)与几十个相关业务应用(或应用标签)直接关联,即可一键完成跨应用的权限开通。 - 场景二:特定人员的高危隔离管控(黑名单)
当发现某员工有异常行为或面临安全合规风险时,可新建一个“拒绝”动作的授权组,将该员工与所有核心高密应用关联。由于“禁止优先”的安全规则,该员工会立刻失去这些敏感应用的访问权,实现一键跨应用阻断。
新建授权组
- 登录管理后台。
- 在左侧导航栏,选择零信任接入 > 应用管理。
- 在应用管理页面,切换到 Web 应用页签,单击列表右上角的批量授权按钮。
- 在批量授权抽屉页的右上角,单击 + 新建授权组。
- 在弹出的配置页面中,完成以下设置:
- 基本信息
- 授权组名称:必填,输入自定义名称(限 60 字符内),例如“创新业务部专属应用授权”。
- 授权组描述:选填,输入该授权组的用途说明(限 100 字符内)。
- 状态:默认启用,可切换为禁用。
- 动作
- 动作类型:选择允许——赋予应用访问权限,或拒绝——禁止访问应用。
- 生效对象:单击编辑,指定具体的授权人员范围。支持按照员工、部门或角色维度添加,也可以配置排除对象将特定人员从范围中剔除。
- 应用:单击编辑,勾选一个或多个已添加至应用网关的具体应用,或通过应用标签进行批量关联。
- 基本信息
- 单击确定。系统将弹出二次确认弹窗。由于批量授权可能会影响大量员工正常访问应用系统,您必须在输入框中手动输入
确认批量授权文案以完成验证。
管理与维护授权组
在 批量授权 页面,您可以通过顶部的筛选栏(按名称、员工、部门、应用或标签)快速定位目标授权组,并执行以下管理操作:
- 启停授权组:通过列表中的状态开关,可一键开启或关闭授权组。
- 编辑授权组:单击操作列的编辑,可修改生效对象、应用范围或动作类型。
- 删除授权组:单击操作列的删除。删除后该授权组的所有配置将永久清除且无法恢复,需输入
删除授权组进行二次确认。
注意
冲突与优先级规则说明:
- 授权组内部冲突:如果同一个用户或部门同时命中了针对某个应用的“允许”授权组和“拒绝”授权组,系统将严格遵循“禁止规则优先”的原则,阻断该用户的访问。
- 与其他策略的优先级判定顺序:在判断一个用户最终能否访问某个 Web 应用时,飞连会综合评估多层安全策略,整体的拦截优先级为:动态控制禁止 > 授权组禁止 > 高级认证拦截 > 授权组允许。这意味着,即使该用户在授权组中被明确“允许”访问,但如果其设备状态触发了动态控制的拦截规则,或未通过高级二次认证,依然会被阻断。