场景示例A公司的业务应用部署在阿里云杭州ECS的私网网段（10.0.216.224）上，ECS所在的VPC名称为VPC_test1，A公司研发一部的所有员工在上海分公司办公。此时企业需要通过SASE内网访问功能，实现研发一部所有员工能够访问杭州私网网段的业务应用。

前提条件已在华东1（杭州）地域，创建了业务需使用的专有网络 VPC和云服务器 ECS，且在ECS的私网网段上部署了企业的业务应用。

如果您当前没有部署业务应用，可以按照如下操作进行应用部署。

准备工作购买的ECS实例必须满足以下条件：

实例已分配公网IP地址或绑定弹性公网IP（EIP）。

操作系统必须为CentOS 7.x。

实例安全组的入方向规则已放行22、80、443端口。具体操作，请参见添加安全组规则。

根据以上要求，本示例准备的ECS：公网IP为47.110.XX.XX，私网IP为10.0.216.224。

操作步骤远程连接需要部署的ECS实例。具体操作，请参见ECS远程连接方式概述。

运行以下命令，安装Nginx。

sudo yum -y install nginx运行以下命令，查看Nginx版本。

nginx -v返回结果类似如下所示，表示Nginx安装成功。

nginx version: nginx/1.20.1运行以下命令，启动Nginx服务。

service nginx start步骤一：配置自定义身份源本文为了快速验证功能，以自定义身份源为例为您介绍。

登录办公安全平台控制台。在左侧导航栏，选择身份认证 > 身份接入。

在身份源管理页签，定位到默认启用的自定义身份源，单击编辑，按照如下信息配置自定义身份源。然后单击确定。

电脑设备登录方式：账号密码登录。

移动设备登录方式：账号密码登录。

在身份源列表，定位到已创建的自定义身份源，单击用户管理。

在用户管理面板，单击添加用户，按照如下信息添加企业员工信息。然后单击确定。

因为SASE下发策略是按照用户组下发的，所以需要先为企业先创建部门，然后为该部门添加企业用户。

待添加的企业员工信息包含用户名、部门、邮箱、手机号、备注等。您配置邮箱和手机号后，为用户生成的初始用户名和密码会发送到您的邮箱或手机。

本示例创建的部门为A公司研发一部，该部门有两名员工，分别是开发人员1和开发人员2。

步骤二：配置内网业务应用资源在左侧导航栏，选择内网访问 > 应用管理。

在办公应用页面，单击添加应用，按照如下信息配置应用。然后单击确定。

名称：A公司内网应用。

应用地址：选择设置应用的IP，填写10.0.216.224。

端口：1~65535。

协议：全部协议。

步骤三：打通阿里云业务的网络通道在左侧导航栏，选择内网访问 > 网络配置。

在阿里云业务 > VPC实例（未关联CEN）页签，定位到企业使用的业务VPC，开启网络打通开关。

步骤四：创建零信任访问策略由于SASE默认会配置一条禁止所有访问的策略，所以您需要为指定员工配置放行策略，允许员工访问内网应用。

在左侧导航栏，选择内网访问 > 访问控制。

在零信任策略页签中，单击添加策略。

在新增策略面板，根据如下参数说明设置基础信息，然后单击确定。

策略名称：A公司内网应用放行策略。

优先级：1。

动作：允许访问。

生效用户：单击添加，在自定义用户组页签，配置组织架构等于A公司研发一部。

已选应用：单击添加，在应用页签，选择A公司内网应用。

策略状态：已启用。

步骤五：验证配置是否成功打开SASE App，输入企业认证标识，然后单击确定。

您可以在办公安全平台的设置页面，配置企业认证标识。

使用邮箱或者手机接收到的初始账号名称和密码进行登录。

单击连接内网。

访问企业考勤管理应用（http://10.0.216.224）。

如果能够成功访问，表示您已配置成功。