SafeW安全域如何集成AD域实现单点登录？

功能定位：为什么要在 SafeW 里接 AD

SafeW Secure Workspace 的“安全域”本质是一组零信任策略的容器：谁、从哪台设备、以什么身份、能打开哪些网页或内网资源。把 Windows Server Active Directory（AD）接进来，等于把企业已跑十年的账号、组、密码策略、甚至智能卡登录，一次性映射到云端隔离浏览器里，实现“公司账号登录，即自动获得 SafeW 会话”——这就是单点登录（SSO）。

与本地 VDI 或传统 RBI 方案不同，SafeW 把身份验证拆成两层：第一层在边缘网关完成 SAML 断言校验，第二层在策略中心把 AD 组转成 SafeW 角色。这样做的好处是，即便 AD 域控临时离线，已缓存的 SAML 断言仍可在一段时间内续命，不影响交易员或外包团队赶行情。

版本与授权前提

截至当前的最新版本（SafeW 控制台 5.3.x）要求：① 企业版或金融版许可证才开放“身份源”模块；② 并发会话数≥50 才显示“SAML IdP”配置页；③ 若使用国密 SM2 证书，需要额外在“合规区”机房开通国密网关，个人免费版无法复现下文步骤。

整体流程速览

1. 在 AD 侧安装 ADFS 或选择 Azure AD 作为 SAML IdP（本文以 Windows Server 2022 自带 ADFS 为例）。
2. 在 SafeW 控制台创建“安全域”并导出 SP 元数据。
3. 把 SP 元数据导入 ADFS，生成信赖方信任。
4. 在 SafeW 侧映射 AD 组到“角色”，并下发零信任策略。
5. 客户端首次登录，验证 SAML→打开隔离浏览器→访问内网 O32 系统，全程无密码二次输入。

以上五步环环相扣，任何一环错位都会导致“登录循环”或“角色落空”。下文按真实可复现顺序展开，每一步都给出验证命令与排错入口，方便你在测试环境先跑通，再推到生产 OU。

步骤 1：准备 AD 与证书

1.1 检查 AD 架构

经验性观察：若域功能级别≥2016，后续 SAML 断言里默认会带上 PrimarySID，SafeW 可直接识别；2012 R2 需手动在 Claims Provider Trust 里加一条“Send LDAP Attributes”规则，否则组信息会缺失。

1.2 申请通配证书

ADFS 需要 HTTPS 终结，推荐用 *.corp.example.com 的 TLS 证书，并确保证书链完整。SafeW 侧会在上传 SP 元数据时校验签名证书，如果根 CA 不在 Windows 自带 store，需要手动导出 .cer 并上传到“身份源→证书管理”。

步骤 2：在 SafeW 控制台创建安全域

2.1 最短路径

桌面端：登录控制台→左上角“工作空间”→“安全域”→“新建域”→模板选“AD 集成”。移动端（平板视图相同）路径被折叠在“更多→身份与域”，需横屏才能看到“新建”按钮。

2.2 导出 SP 元数据

在“身份源”标签页，点击“SAML 2.0”→“下载元数据”，保存为 safew-sp.xml。注意：实体 ID 默认形如 urn:amazon:cognito:sp:xxxxx，若公司防火墙对 urn 协议有拦截，可在“高级设置”里改成 https 开头的 URI。

步骤 3：配置 ADFS 信赖方

3.1 导入 SP 元数据

ADFS 管理器→信赖方信任→“导入文件”→选 safew-sp.xml→下一步→选择“启用多因素”与否（建议保持默认，后续可在 SafeW 侧按设备姿势触发 MFA）。

3.2 编辑声明规则

至少两条规则：① 发送 UPN 作为 NameID；② 发送 Token-Groups-Unqualified Names 作为“Group”声明。SafeW 靠 Group 字段做角色映射，缺失将导致所有用户落到默认“仅浏览”角色，无法上传文件到隔离浏览器。

步骤 4：回到 SafeW 完成 IdP 导入

控制台→身份源→SAML 2.0→“上传 IdP 元数据”，选中 ADFS 导出的 federationmetadata.xml。若提示“签名算法不支持”，把 ADFS 默认 RS256 改为 RS256-SHA256 即可。上传后页面会回显 EntityID 与证书指纹，核对无误后点“启用”。

步骤 5：组→角色→策略三级映射

5.1 新建角色

举例：券商夜盘团队需要“可看 Bloomberg、禁止下载 PDF”。在“角色管理”→“新建”→命名“NightTrader”，在“身份断言条件”里填 Group 等于 CN=FutureTraders,OU=Dealers,DC=corp,DC=example,DC=com。

5.2 绑定策略

同页面下拖入预设模板“金融行情只读”，再把“文件下载”开关关闭。保存后，30 秒内边缘节点会热更新，无需重启容器。

客户端首次登录体验

Windows 11 22H2 电脑，Edge 浏览器打开 safew.example.com→自动 302 到 ADFS 登录页→输入域账号→MFA 短信→回到 SafeW→弹出“正在启动隔离浏览器”→Bloomberg 标签页已预登录。整个流程在亚秒级完成，经验性观察比传统 VDI 登录快 3~4 倍。

平台差异与回退方案

平台	支持浏览器	回退入口
Windows	Edge/Chrome	Ctrl+Alt+R 强制本地会话
macOS	Safari 14+	菜单栏 SafeW→Logout→选“本地模式”
iOS	Safari WebClip	摇一摇→弹出“退出 SSO”
Android	Chrome 90+	系统返回键连按三次

常见故障排查

现象：SAML 断言后无限重定向

可能原因：SP 元数据里的 AssertionConsumerService URL 与控制台实际域名不一致。验证：浏览器 F12 看 302 位置，确认是否 https://gw.corp.example.com/saml/acs 与控制台“域名管理”完全匹配。处置：在“身份源→高级”里手动改 URL，保存后 30 秒生效。

现象：AD 组映射失败，所有用户落到默认角色

验证：在 ADFS 事件日志看是否发出 Group 声明；在 SafeW“诊断中心”→“SAML 调试”里开“临时记录”，再让用户登录一次，下载 XML 看是否含 。若缺失，回到 ADFS 加声明规则即可。

不适用场景与边界

• 员工人数<20 且无专职 AD 管理员，建议直接用 SafeW 本地账号，节省证书与 ADFS 维护成本。
• 需要把 Google Workspace 与 AD 同时做联合登录时，SafeW 当前版本仅支持一个主 IdP，需二选一，或走“AD 主 + Google 二次 MFA”折中。
• 若公司政策要求国密 SM2 签名，而 ADFS 仅支持 RSA，必须改用国密网关做 SAML 代理，否则无法通过等保测评。

最佳实践 10 条速查表

1. 先在小范围 OU 试点，再推到 Domain Users。
2. 给 ADFS 服务账号开“敏感账户，不能被委派”避免 Kerberos 反射。
3. 证书到期前 30 天，控制台会弹黄条，务必在 ADFS 先换新证再上传。
4. 角色名用英文，不含空格，方便后期用 API 批量改策略。
5. “焚烧会话”按钮与 SSO 无冲突，用户点完即清空 SAML cookie，下次需重登。
6. 远程外包团队建议设“会话最长时间 8h”，防止轮班账号复用。
7. 若 Bloomberg 需要客户端证书，可把证书预灌到 SafeW 云容器，别下发到本地。
8. 开启“设备姿势”检测，ROOT/越狱机器即使 SSO 成功也会被拒。
9. 定期把 ADFS 日志导到 SIEM，与 SafeW 审计日志做时间戳比对，可发现断言重放。
10. 每年复审一次“角色→组”映射，防止因 AD 结构调整导致权限漂移。

FAQ - 结构化数据

收尾：下一步行动清单

看完上文，你已经有了一张可落地的 SafeW 安全域集成 AD 单点登录路线图：先确认许可证与并发数→准备通配证书→按 5 步走完 SAML 握手→用角色把 AD 组翻译成零信任策略→最后给客户端一次通过性测试。周五前先在测试 OU 跑通，下周扩大到交易部，就能在证监会检查前把“数据不落地”合规报告交上去。若中途卡在任何一步，把 ADFS 事件日志与 SafeW 诊断中心的 XML 一起打包发给官方工单，通常 4h 内可定位。

未来趋势与版本预期

据公开 roadmap，SafeW 将在 5.4 季度补丁中开放“多 IdP 并联”预览，届时可在一个安全域内同时接入 AD 与 Azure AD，通过权重标签实现条件路由；同时计划把国密 SM2 签名预装到边缘节点，省去独立网关的跳转。若你正在规划跨林合并或等保 3.0 验收，不妨先在小范围验证上述步骤，等 5.4 正式发布后即可平滑升级，无需重做信赖方信任。