UniFi Identity Endpoint 是一款应用程序,它简化了用户直接通过 PC 或移动设备与多个站点的 UniFi 服务进行交互的方式。通过将集中的 Fabric 级权限与安全的、基于身份的身份验证相结合,UniFi Identity Endpoint 在强制执行零信任网络策略的同时,提供对 WiFi、VPN 和门禁的无缝访问。

要求

在配置 Identity Endpoint 服务之前,请确保以下各项已就绪:

  1. 已启用 合并人员管理Fabric。有关更多信息,请参阅 UniFi Fabrics 入门
  2. (可选) 集成的 身份提供程序 (IdP),用于安全的基于 SAML 的身份验证和零信任网络。有关更多信息,请参阅 UniFi Fabrics 身份提供程序 (IdP) 集成

什么是 Identity Endpoint?

Identity Endpoint 是用户直接通过 PC 或移动设备,与被授予权限的任何站点的 UniFi 服务进行交互的中心位置

当身份提供程序 (IdP) 绑定到 Fabric 时,Identity Endpoint 通过强制执行基于 SAML 的身份验证(如果已配置,则包括 MFA)来提供额外的安全优势。这确保了只有在身份验证后才授予访问权限,符合零信任安全原则。

可用的 Identity Endpoint 服务

  • 一键 WiFi (One-Click WiFi):使用基于身份的身份验证,在适用站点实现无缝、安全的 WiFi 访问——无需每个站点的凭据或手动入网。
  • 一键 VPN (One-Click VPN):允许用户连接到跨站点的授权网络,同时强制执行集中的零信任访问策略。
  • 智能门禁 (Smart Door Access):授予对适用站点门的物理访问权限,确保一致的访问控制,而无需维护特定站点的凭据。

启用 Identity Endpoint 服务

要启用 Identity Endpoint 服务:

  1. 前往 Site Manager
  2. 选择一个 Fabric
  3. 导航至 设置 > 身份 (Settings > Identity)
  4. 选择要启用的 Identity Endpoint 服务。有关可用设置的更多详细信息,请参阅下文的 Identity Endpoint 配置选项
  5. 默认情况下包含所有站点。要限制可用性,请选择特定站点。
  6. 将人员添加到您的 Fabric 并分配使用 Identity Endpoint 的权限。有关更多信息,请参阅 管理 UniFi Fabric 人员、角色和权限

Identity Endpoint 配置选项

一键 WiFi

  • WiFi 名称:指定将在所选站点上配置并使用 Identity Endpoint 应用程序进行身份验证的 SSID。

一键 VPN

  • 分流路由:默认情况下,所有流量都通过一键 VPN 路由。分流允许您指定哪些流量经过 VPN,从而减轻企业基础设施的负载,并提高不需要 VPN 访问的流量的性能。

智能门禁

  • 凭据类型:选择哪些凭据类型可在 Fabric 的 人员 选项卡中进行分配,并可通过 Identity Endpoint 应用程序使用。
    • NFC 卡
    • 手机开锁
    • 人脸开锁
    • PIN 码
    • 挥手开锁
    • 二维码
  • 远程开锁:允许用户通过 Identity Endpoint 应用程序远程开锁,即使不在门附近。此选项默认禁用,以保持最高安全性。

Identity Endpoint 邮件邀请

  • 自动发送给新人员:一旦为 Identity Endpoint 服务分配了角色和/或权限,将自动发送一封电子邮件以引导用户入网。
  • 需要 2FA 代码:入网邮件将包含一个在入网 Identity Endpoint 应用程序时必须使用的 2FA 代码。
  • 邀请有效期:配置入网邮件的有效期(默认为 30 天)。