本文介绍Windows AD的认证源创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可 客户端集成AD认证源版本为：PC客户端版本（windows、macOS、Linux图形化）为2.12.0及以上版本，移动端（安卓、IOS）为1.14.0版本。 操作步骤 管理员创建AD认证源 即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。 1、添加认证源 进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。 2、选择认证源类型 选择AD 认证源类型。输入配置参数，完成AD认证源配置。 配置参数说明： 参数 说明 认证源名称 必填，默认值“AD”，输入限制为16个字。 服务器地址 必填，分为链接方式、服务器地址和端口三个部分： 下拉选择域名为ldap:// 或者 ldaps://。 输入服务器地址。 输入端口号。 同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。 管理员账户 必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。 管理员密码 必填，该账户的登录密码。 User DN 必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dctest,dclocal。 查询条件 必填，无特殊情况一般为objectclass，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如： (objectClassperson)：查找所有对象类为“person”的条目。 (cnJohn Doe)：查找常见名称（cn）为“John Doe”的条目。 (uid)：查找所有具有“uid”属性的条目。 &（和）、（或）、!（非）等逻辑运算符可以用来组合多个条件。 用户登录标识 必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。 用户信息映射规则 必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。 例如：namedisplayName;mobilehomePhone;emailmail; nicknamegivenName。 注意： AOneId中的name（姓名）同步AD中的displayName字段 AOneId中的mobile（手机号）同步AD中的homePhone字段 AOneId中的email（邮箱）同步AD中的mail字段 AOneId中的nickname（昵称）同步AD中的givenName字段 登录模式 必填，目前支持登录注册。 适用范围 必填，目前支持PC端和移动端。 logo 非必填，用于在认证源列表展示的logo。

计费构成 计费方式 计费项 计费描述 基础版套餐 预付费包月 端点数 按照配置的端点数进行计费，端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月。 企业版套餐 预付费包月 端点数 按照配置的端点数进行计费，端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月。

本文介绍对金融类客户的产品价值。 业务特点 交易（电商交易、金融支付、账单同步等场景）重视用户体验与数据安全，整体IT建设标准高，如果业务运营中出现延迟掉包、系统运行缓慢、数据容易丢失、账户数据被篡改、恶意刷优惠券等问题，会影响用户的恐慌，导致客户业务流失。 客户痛点 信用卡商城、手机网银、支付类业务数据实时性要求高。 热门纪念币、优惠券抢购体量大，易高并发。 行情推送类使用特殊websocket协议传输。 客户不愿上传证书加速。 电商大促抢购高峰拥堵，支付、秒杀等大量并发请求。 用户敏感信息容易泄露。 海外攻击团队勒索。 业务欺诈、营销欺诈。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享：对全网在服的金融客户遭受的攻击行为进行分析，不断优化安全防护模板。 爬虫防护：区分恶意爬虫，SEO/SEM推广，在拦截爬虫的同时，保障业务的正常进行。 基于零信任架构，实现内部业务和端口隐身，保护数据安全。

权限名称 权限说明 具体场景或目的 INTERNET 允许应用访问网络 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSNETWORKSTATE 检测网络连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 ACCESSWIFISTATE 获取WIFI连接状态 用于优化服务过程中的网络质量，wifi/4g网络切换状态下的网络服务保障 REQUESTINSTALLPACKAGES 允许进行应用安装 用于更新应用，检测用户是否具备使用产品功能的条件，优化体验 REQUESTIGNOREBATTERYOPTIMIZATIONS 忽略电池优化 允许VPN服务能够在后台运行服务（国内手机系统可能无法生效，需要用户到设置中手动开启，不同机型出来的权限蒙版不一样，有一些机型因为不需要用户确认没有弹出蒙版） MODIFYAUDIOSETTINGS 修改音频设置 会议服务：设置音频模式 RECORDAUDIO 录制音频 AI应用中心：以语音的方式与AI进行交互、语音输入，收集语音信息（语音转文本信息） 音视频会议：发言、传输音视频流 CAMERA 拍摄照片和视频 AI应用中心：拍摄图片，收集图片信息 消息服务：使用摄像头拍照发送图片或视频 音视频会议：开启视频、设置虚拟背景 邮件服务：使用摄像头拍摄照片 消息服务：使用摄像头拍摄照片 个人信息：拍照上传头像 WAKELOCK 唤醒设备 保持设备唤醒状态，避免某些场景下系统休眠之后导致的VPN连接异常情况。 WRITEEXTERNALSTORAGE 写入外部存储 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：下载文件，保存图片 READEXTERNALSTORAGE 读取外部存储 日程服务：在日程中添加文件 消息服务：发送照片、文件 邮件服务：上传附件、保存邮件附件至本地、从本地选择文件插入邮件 消息服务：发送图片、发送文件 MANAGEEXTERNALSTORAGE 管理所有外部存储 文件管理增强（android10以上版本申请，权限等同于WRITEEXTERNALSTORAGE 和READEXTERNALSTORAGE） READMEDIAIMAGES 读取媒体图片 消息服务：从相册选择图片发送 AI应用中心：从相册上传照片 邮件服务：从相册选择图片插入邮件 USEBIOMETRICUSEFINGERPRINT 生物识别/指纹 使用生物识别/指纹进行登录 BLUETOOTHBLUETOOTHADMIN BLUETOOTHCONNECT 蓝牙权限 会议中使用蓝牙设备 SYSTEMALERTWINDOW 悬浮窗权限 会议服务：用于会议的悬浮窗功能 READPHONESTATE 读取电话状态权限 会议服务：用于来电时自动禁用会议服务的扬声器和麦克风

天翼云AOne iOS版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 SDWebImage 图片的加载缓存 图片的加载缓存 无 无 无 社区开源项目 < AFNetworking 和后端的接口交互 进行接口的数据请求 无 无 无 社区开源项目 FMDB 本地数据的存储 数据库的管理 无 无 无 社区开源项目 SSZipArchive 分享文件时压缩文件 文件的压缩与解压 无 无 无 社区开源项目 < CocoaLumberjack 日志打印 日志打印到本地文件 无 无 无 社区开源项目 < SVGKit svg格式图片的显示 svg格式图片的显示 无 无 无 社区开源项目 < openim IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 mailcore2 邮箱 获取邮箱、邮箱收发服务 无 无 SDK本机采集 < RZRichTextView 富文本 富文本编辑显示功能 无 无 无 < TZImagePickerController 相册选择 邮箱获取相册图片服务 无 无 无 < SQLCipher 邮箱数据库加密 邮箱数据库加密服务 无 无 无 <

尊敬的AOne安全与加速、开发者服务的客户： 您好！ 感谢您长期以来对天翼云安全与加速、开发者服务的关注与支持！为进一步优化产品服务质量，提升新用户体验，结合产品运营规划，计划对安全与加速、开发者服务的免费版订购规则进行调整。现将具体事宜说明如下： 【调整时间】 2026.5.10起。 【原服务说明】 本次调整前，天翼云安全与加速、开发者服务提供免费版服务，用户可长期使用免费版功能，部分高级功能受限制。 【新购规则调整内容】 自 2026年5月10日起，将停止安全与加速和开发者服务免费版的续订、升级，不再接受续费和升级申请，如果您想继续使用服务，可在5月09号起升级为付费版本。 【其他说明】 2026年4月08日0时前已订购并使用安全与加速、开发者服务免费版的用户，可继续使用至当前服务周期结束，服务权益不受本次调整影响。为了给您提供更全面的功能支持、更稳定的服务保障及专属技术支持，我们诚挚建议您升级至付费版本，付费版将涵盖更多高级功能、更长服务周期及优先问题响应等增值权益，更好地满足您的业务安全需求。 若您在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的安全与加速、开发者服务。

同步身份源模块 同步身份源主要负责将企业第三方系统（如办公系统、目录服务等）中的身份数据同步至AOne，确保AOne中的用户信息、组织架构与企业原有系统保持一致，无需人工手动维护，减少数据冗余与同步误差。 同步范围涵盖用户基础信息（姓名、手机号、邮箱等）、组织架构（部门层级、部门成员关系等）等核心数据。 目前提供丰富的第三方组织接入方式，可根据客户实际情况进行选择。各类身份源的创建流程因类型不同存在差异，具体参考： 身份源类型 创建操作文档 AD 创建AD同步任务 企业微信 创建企业微信同步任务 钉钉 创建钉钉同步任务 飞书 创建飞书同步任务 除了以上列出的常用身份源类型，AOne还预集成了其他主流的身份认证提供商（如北森、橙讯，专有钉钉等）。若您的企业有特定的身份源对接需求，可联系专属运营人员或者提交工单获取专属支持。 此外创建身份源后的验证流程、日常维护操作（启用、停用、执行任务等）各类身份源一致，请参考：同步任务统一验证及维护操作。

本文为AOne平台各类同步任务创建后的统一验证及维护操作指南,适用于企业管理员对已创建的同步任务进行验证、日常管理。 背景说明 各类身份源的创建流程因类型不同存在差异（如企业微信需配置企业ID，AD需配置BaseDN等），但创建后的验证流程、日常维护操作（启用、停用、删除等）基本一致。为避免重复撰写，特制定本文档，作为所有同步任务创建后的通用操作规范，管理员可直接参照执行，无需区分身份源类型。 统一验证操作 同步任务创建完成后，需先完成统一验证操作，确认同步配置无误、数据可正常同步。值得注意的是：在验证中建议先将同步任务的同步方式调整成手动，待确定同步数据无误后再将同步方式按需改成定时。 步骤1：预览同步字段 该步骤用于初步确认AOne是否成功连通身份源，以及用户/组织字段映射规则是否符合您企业需求，操作步骤如下： 1）找到已创建的同步任务（状态为“未启用”或“已启用”均可），点击该操作列【更多】【预览同步字段】按钮，系统会根据您在用户映射规则中的配置规则，弹窗随机展示一个用户字段映射情况； 2）请确认用户的账号，姓名，邮箱，手机的字段是否正确映射。若字段映射不符合需求，修改后重新预览，直至映射规则无误。 备注：不同类型的身份源字段映射规则不同，有的支持可配，有的为固定配置，若固定配置无法满足您的需求，可联系专属运营人员或者提交工单获取专属支持。

计费项目 用量 费用计算 每月总费用（元） AOne高级版（中国内地）套餐 1 13800元3800元 3800 域名扩展包 1 1000元11000元 1000 总计 4800

尊敬的AOne零信任客户： 您好！ 感谢您长期以来对我司零信任产品的关注与支持！为进一步聚焦零信任核心服务能力，优化服务质量，提升安全防护水平，更好地满足广大用户的专业化、高品质安全需求，经我司慎重研究决定，零信任服务免费版将全面下线。现将相关事宜公告如下： 【订购规则调整】 1. 2026年1月10日00:00起，正式限制零信任服务免费版的新订购业务，不再接受新用户订购。 2. 2026年3月18日00:00起，所有已购买零信任服务免费版的用户，将无法办理任何形式的续订业务，包括手动续订及自动续订（系统将自动取消所有免费版相关自动续订协议，不会产生额外扣费）。 3. 2027年3月20日00:00起，零信任服务免费版将全面正式下线。系统将统一校准未到期套餐的有效期，全程不产生任何额外费用。 【存量服务保障】 用户已购买的零信任服务免费版权益将正常生效，直至服务期限届满；服务期限届满后，将自动终止服务，不产生任何后续费用。因免费版产品于2027年3月20日00:00起全面下线，建议提前进行服务规划与迁移，避免影响产品服务。 【其他说明】 若您仍有零信任相关服务需求，可联系我司客户顾问，了解适配您业务场景的付费版零信任服务。付费版将依托更全面的安全防护能力、更稳定的服务保障及专属技术支持，践行“永不信任、始终确认”的零信任核心理念，为您的业务构建从身份认证到数据防护的全流程安全防线，助力业务安全高效运行。 若您在已订购零信任免费版且在服务中，需退订服务后进行新购其他规格服务，若在订购过程中遇到问题，或需了解产品功能详情、升级方案等信息，可随时联系我们。 本次规则调整旨在更好地平衡产品服务资源，有效规避恶意订购、违规使用等潜在风险，保障服务生态的合规与有序，更好地守护用户业务安全，为用户提供更精准的服务支持。如有其他疑问，欢迎随时与我们联系。 再次感谢您的理解与支持！我们将持续迭代优化产品，为您提供更优质的零信任安全服务。

2、短信服务销售品 短信服务销售品可用于扩容短信数量，具体计费方式可查看：零信任远程办公计费概述。 四、超量使用解决方案 启用限制及影响 为优化平台服务资源配置，自 2025 年 5 月起，我们将逐步安排实施短信限量限制措施。在此之前，平台会预留一定时间，方便您及时更改配置、做出扩容安排。当您的短信使用量超出免费额度后，系统将启用超量限制。启用限制后，后续短信无法发送成功，这将直接影响您业务的正常开展，如用户无法正常登录、接收重要通知等。因此，请您务必及时关注短信使用情况，提前规划并完成相关调整，避免业务受阻。 注意 北京时间 2026年1月10日 00:00全面启用短信额度限制（不区分新、旧客户），具体短信收费及使用说明请查看文档： （一）使用自身短信网关 当您的免费短信额度耗尽后，可选择接入外部的短信网关。接入后，可使用您购买的短信服务商提供的短信网关发送短信，平台不会额外收取费用。为确保短信服务的稳定性与及时性，接入时请参照以下步骤： 1.目前仅支持使用阿里云短信网关，请提供阿里云短信网关相关配置信息。 2.需要按短信发送场景提交短信模板到短信服务商进行模板申请，审批完成后提供模板ID给我们进行登记使用。 3.发送短信需要携带签名，请先在短信供应商完成签名申请和资质认证。 4.外部短信网关暂时不支持控制台自助配置，如有需求，请提交工单，联系我们后台进行配置。

本文主要描述AOne零信任网络全面升级事项。 【公告内容】 尊敬的AOne 零信任网络客户，您好： 衷心感谢您长期以来对AOne零信任网络产品的信任与支持！ 为给您提供更稳定、高效的零信任网络服务体验，我们已完成零信任网络架构的全面迭代优化。新架构在智能选路探测、系统运行稳定性等核心能力上实现显著跃升 ，目前办公组网、全球加速及各类业务敏感场景均已顺利迁移至新架构，经实际验证运行状态稳定可靠，充分满足高要求业务场景的使用需求。 为使全体客户均能享受新架构能力，我们将对余量的旧架构客户逐步升级，相关事宜通知如下： 【升级时间】 本次升级将于2026 年 1 月 15 日至 2026 年 9 月 30 日期间按照客户粒度分批次逐步推进。 为最大限度降低对您业务的影响，具备条件的升级任务将统一安排在凌晨低峰时段执行。 【升级前提】 1、本次架构升级依赖连接器版本升级为1.31.0及以上，建议采用最新版本的连接器，低版本连接器可根据【公告】关于 AOne 零信任连接器 1.21 及以前版本升级的重要公告进行相关操作升级。 2、本次架构需要连接器的网络出方向进行更新放通新的端口，其中出方向流量指连接器需对外进行连通，并不会产生公网端口暴露。 不同客户的端口存在差异，客户可查看连接器的安装命令查看所需放行端口

【FAQ】 提问：升级连接器过程中，零信任业务是否会中断？ 答：连接器在升级过程中会自动重启，重启的时候无法正常服务，持续时间大概在 1 分钟以内，故建议您选择在业务低峰期进行升级。 提问：连接器如果升级失败了会怎么样？ 答：连接器如果升级失败，会自动回滚到之前的版本，回滚完成后会自动启动服务，业务随即恢复正常。 提问：如果我的连接器显示为“最新版”无法进行升级怎么办？ 答：连接器如果版本显示为 1.31 且提示为最新版，则无需处理，维持 1.31 即为维持最新版。如果是 1.21 及以前的版本提示为“最新版”，请通过客服工单联系后台寻求技术支持。 提问：如果点击“待升级”无反应，或者在版本号列没有“待升级”按钮，甚至不显示版本信息怎么办？ 答：请检查连接器的“中心连通”是否为在线状态，仅有中心连通在线的连接器才可以通过控制台进行操作。如中心连通异常，请检查连接器宿主机网络，或连接器实例是否在宿主机上被误删除。如您不知道怎么排查，请通过客服工单寻求技术帮助。

本文主要介绍连接器基本原理和使用场景。 连接器是什么 天翼云AOne连接器是AOne零信任架构中实现网络互通互联的核心组件，它部署于客户侧，是客户连接AOne网络的接入点。 连接器与AOne网络节点建立加密隧道，实现内网用户接入，通过AOne“高速公路”触达其他区域的公网或内网应用。 连接器通过反向连接技术将内网应用资源与零信任安全网关进行安全连通，避免业务系统直接暴露于互联网。 适用场景 零信任远程办公 场景需求 ：员工通过互联网安全访问企业内网资源，如 OA、ERP 系统。 连接器作用 ：员工通过零信任客户端访问应用时，连接器作为中转代理，将流量加密转发至内网，避免直接暴露应用 IP。 连接器价值 ： 统一接入能力 ：支持跨多云、混合云、本地机房等复杂环境的网络连通，解决企业数字化转型中的混合部署难题。 安全隔离 ：通过隐藏网络拓扑、动态访问控制和加密隧道，将攻击面最小化，防御来自内外部的威胁。 高可用性 ：支持多活部署（如在不同服务器安装同一集群的连接器），结合负载均衡算法实现流量分发，保障业务连续性。 办公组网 场景需求 ：企业分支机构与总部、云资源之间的安全互联。 部署模式 ： 加速模式 ：分支机构连接至就近的 POP 节点（全球 300 + 骨干网节点），通过专线骨干网互联，适用于跨区域中大型企业。 连接模式 ：分支机构直接通过加密隧道连接总部，成本低，适合小型企业。 混合模式 ：结合加速与连接模式，灵活适配复杂网络架构。 技术优势 ：支持带宽限制（如连接模式 15000Mbps）、自定义 DNS 解析，优化网络性能。 连接器价值 ： 关联不同数据中心的应用至对应连接器集群，确保流量精准回源（如北京机房应用关联北京集群）。 支持跨区域负载均衡，提升多云环境下的访问效率。

本文介绍终端管理设置概述。 背景说明 为提供更好的使用体验和差异化配置，AOne零信任支持多维度的设置栏目，包括客户端设置、企业服务等。AOne终端管理还支持授权管理。 设置项说明 客户端设置 支持客户端防卸载、防退出能力，适用于企业强管控合规要求可配置客户端自保护策略。 配置详情见客户端自保护。 企业服务 可设置企业使用AOne零信任的企业标识，管理企业使用零信任服务状态，配置详情见企业服务。AOne终端管理还支持配置审核模式。

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。 开机自动启用AOne 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能，配置详情见开机自动启用AOne。

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

本文介绍域名管理中的场景教学内容。 域名管理页面顶部支持场景教学模块，针对网站不同业务需求进行场景介绍以及控制台配置指引，您可以按需查看。 场景教学默认隐藏，您可以点击右上角【打开说明】展开该模块。 说明 场景教学仅供参考，您可以根据实际业务需求评估是否采用。

参数 说明 管理方式 黑名单、白名单二选一。 域名 具体域名或者泛域名。 IP IP、IP/掩码、IP范围（格式：1.1.1.11.1.1.10）。 进程 软件的进程名（格式：xxx.exe），配置后对应的软件进程的流量将按黑名单进行拦截或是按白名单进行放行，该加白方式适用于通用的windows 64bit版本客户端，对macOS不生效。

15、SDK 产品功能所需收集的个人信息说明 个人信息类型 可选/必选 处理目的/功能场景 处理方式 获取IP 必选 用于网络变化的时候重新解析DNS获取ip 仅读取，不保存到本地，也不上传服务器 常见问题 引入aar包后，出现Duplicate class 的错误，如下图所示 原因：因为sdk有依赖一些jar包，如果app工程也依赖相同的jar包会导致冲突，这里需要exclude app 工程的相同的类来解决这类问题，目前sdk层依赖的jar包如下表所示： 库名字 版本 okhttp 4.9.3 okio 2.8.0 gson 2.9.0 datastorepreferencescore 1.0.0 datastorecore 1.0.0 convertergson 2.9.0 logginginterceptor 4.9.3 retrofit 2.9.0 commonsvalidator:commonsvalidator 1.7 org.conscrypt:conscryptandroid 2.5.2 androidx.security:securitycrypto 1.1.0alpha06 androidx.lifecycle:lifecycleruntimektx 2.5.1 com.elvishew:xlog 1.11.1 解决方式：使用 exclude 排除重复的类 如果你知道具体哪些类是重复的（通常可以在错误消息中看到），可以使用 exclude 来排除特定的类。例如，如果 commonlib 引入了重复的类 com.okhttp3，你可以排除该类： dependencies { implementation('com.example:commonlib:1.0.0') { exclude group: 'com.squareup.okhttp3', module: 'okhttp' } } 获取设备id 如果需要获取当前sdk指定的设备指纹（唯一id），则可以调用 DeviceIdUtil.Companion.getUniqueId() 获取当前系统的版本，则可以调用 DeviceIdUtil.Companion.getDeviceOs() 日志路径 如果遇到问题需要协助，开发人员可能会寻求日志定位问题，这里日志的路径的获取有三个方式 方式一、使用如下方法获取日志 VPNApplication.get().getFileLogPath() 方式二、在log中获取，启动后会在tag为Sdk中获取到 在用如上的方法获取到日志路径后，到路径下取出今天的日志发给开发者即可 方式三、日志分享 调用AOneSdkClient.Companion.ShareLog(this) 方法，日志会打包成一个zip文件，并弹出分享面板，可以通过微信等方式分享 / 方法名: ShareLog 描述：这个方法用于Sdk日志的分享,方便快速定位问题 使用线程: 主线程 回调线程: 主线程 使用方法: AOneSdkClient.Companion.ShareLog(this); / public void ShareLog(View view) { AOneSdkClient.Companion.ShareLog(this); } 错误码 错误码 错误提示 建议处置方式 0x10301 隧道资源接口请求失败 联系管理员 0x10302 隧道资源不存在 联系管理员 0x10311 aoneid隧道资源接口请求失败 联系管理员 0x10312 aoneid隧道资源不存在 联系管理员 0x10321 获取解析组接口错误 联系管理员 0x10322 获取解析组域名为空 联系管理员 0x10323 获取解析组ip为空 联系管理员 0x103310x10334 隧道配置接口请求失败 联系管理员 0x10335 隧道配置不存在 联系管理员 0x10336 控制中心无法分配足够客户端ip 联系管理员 0x10337 多镜像中心隧道接口内部错误 联系管理员 0x10341 token接口刷新错误 联系管理员 0x10351 添加设备的接口报错 联系管理员 0x10352 设备未激活 联系管理员，增加设备的激活数量 0x10353 未支持的AuthStatus字段 联系管理员 0x11001 配置转换异常 联系管理员 0x11002 数据转换异常 联系管理员 0x12001 开始认证无Token，一般是Token过期了 1、排查是否登录成功 2、是否正确传递token到sdk，或者token超过了有效期 3、如果还是不行，联系管理员 0x12002 开始认证无用户名 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0x12003 开始认证无随机数 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0x12004 无权限 app申请VPN权限，用户是否同意了 0x12005 无网络 查看网络是否正常 0X12006 无refreshToken 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12007 aoneId 用户池id是空的 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12008 租户id是空的 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12009 token 错误 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12010 启动VPN一些配置是错误的 联系管理员 0X12011 初始化token已过期 排除token 是否已经过期了 0X13001 状态错误 联系管理员 0X13002 下线失败 联系管理员 0X13003 初始化错误 联系管理员 0X13004 已经在线 VPN已经是在线状态，又调用了SdkStartVPN导致 建议检查下VPN的状态 0X13005 json 序列化错误 联系管理员 0X13006 json 解析失败 联系管理员 0X13007 未知错误 联系管理员 0X13008 服务端响应错误,一般是502等错误状态码 联系管理员 0X13009 服务端无响应 联系管理员 0X13010 请先传入用户是否同意隐私协议再使用sdk 需要弹出隐私协议确认对话框，并调用的方法AOneSdkClient.Companion.updatePrivacyAgree(true)告知sdk 0X13011 需等待用户同意隐私协议后再使用sdk 用户同意隐私协议后需要调用AOneSdkClient.Companion.updatePrivacyAgree(true);

本文介绍终端管理客户端功能发布记录。 终端管理客户端介绍 终端管理客户端主要提供终端安全、敏捷运维、高级威胁等能力。 如需下载客户端，请访问终端管理下载页面。 Windows 64bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。 Windows 32bit 发布版本 发布时间 版本描述 2.26.11 20260228 客户端支持软件仓库、软件分发、正版软件、办公净化、威胁检测响应、AI文件外发审计等能力。 2.19.11 20250709 客户端支持实时防护、病毒查杀、漏洞补丁、外设管控、合规检测、防钓鱼、局域网共享防护、AI风险检测、软件管理、上网行为管控、自保护等能力。

参数 说明 处置粒度 支持根据设备，账号，公网IP三种类型作为处置粒度，会对所选粒度的访问行为进行统计和处置，其中设备是关联到账号的最小处置粒度 ，处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置，当处置粒度为账号时，在处置动作生效时期，该账号登录其他设备同样会被处置。 统计粒度 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数，支持按照域名+端口或协议+IP+端口两种粒度。 统计周期 单位秒。 访问次数 单位次数。 处置时间 单位秒。 处置动作 监控：仅监控观察，不对网络连接、访问权限进行任何干预。 挑战认证：需通过配置的认证方式完成身份认证，才能继续访问内网。 禁止访问内网：关闭对内网环境资源的访问权限，即无法连接公司 / 单位内部系统、共享文件等内网资源。 注销登录：退出当前客户端登录状态，若账号不符合安全要求，将持续触发注销。 提示语 针对不同处置动作均默认设置有对应提示语，可进行自定义修改。

本介绍需要用户一直重复登录的解决方式。 问题现象 接入安全与加速服务后，访问网站一直需要用户一直重复登录。 问题原因 域名存在多个源站时，有可能出现同一个会话请求转发到不同的源站导致登录状态丢失，让用户一直重新登录的问题，可通过以下方式处置。 解决方案 1.源站进行相关处置（建议）： 多个源站之间要做登录session。 源站有基于访问IP做会话验证时要通过从请求头的xforwardedfor中获取到客户端请求的真实IP进行校验。 2.可通过配置保持登录进行解决，暂不支持控制台自助操作，如有需求请联系我们。

产品价值 1. 守护电脑安全：在实时防护、病毒查杀、漏洞修复等多重机制护航下，阻止外部非法入侵与内部外设数据泄露，全方位守护员工电脑安全，让电脑使用更安心。 2. 用户体验良好：终端安全能力开箱即用，无需繁琐的部署方案，丰富的终端安全能力融合在一个轻量客户端中，员工办公体验好。 3. 终端高效管理：终端接入企业后，管控策略持续生效，让电脑持久安全；基于身份、设备双重监管、深度溯源风险行为；精准盘点终端资产，追踪资产状态与位置。 4. AI应用检测：实时监测新安装 AI 应用，自动识别应用风险等级，阻断高危、不合规AI 应用的网络链接，形成“发现 定位 处置”管控闭环。

地址管理 勾选 “自动将发送邮件地址添加至” 后，可将发件地址存入集合通讯录，便于高效管理联系人资源。 附件检查 开启“检查缺失的附件” 功能，系统自动扫描，还能通过设置关键词，进一步确保附件完整无误 。 垃圾邮件 您在垃圾邮件设置页面，可设定默认处理规则。邮件被标记为垃圾邮件时，可选择移至 “垃圾” 文件夹或删除；还能设置手动标记时同步标记已读，以及是否启用自动判定功能，助力用户管理收件环境 。 关于 你可以查询到当前的版本号、查看源代码、清除缓存等。

本文介绍上传下载加速场景下的产品价值。 业务特点 适用于各类大文件，例如游戏安装包、应用更新、手机ROM升级、应用程序包的上传和下载等业务场景，提供稳定、优质的加速服务。 海量弹性带宽储备，具备突发性超大流量承载能力，让业务用户获得极速的上传/下载体验。 同时，对文件上传/下载进行校验，避免安全事件的发生。 客户痛点 客户端/应用程序包下载慢。 课件/培训视频上传及下载。 视频网站内容、图片渲染上传。 新闻素材/原创素材上传。 上传webshell。 上传恶意代码。 产品价值 智能选路。 长链接复用。 智能压缩。 多级缓存。 webshell检测。 恶意代码检测。

如何导入Outlook数据 1.进入AOneMail主界面，点击导入。 2.点击从Outlook导入。 3.勾选好想要上传的数据，系统将开始从 Outlook 读取并导入所选数据，等待进度完成即可。 导入邮件 1. 进入AOneMail主界面，点击导入。 2. 点击导入邮件。 3. 您可以选择导入EML文件或从目录导入所有EML文件，点击继续。 4. 点击继续即可将邮件导入到收件箱内。 文件导入 1. 进入AOneMail主界面，点击导入。 2. 点击从文件导入。 3. 您可以选择导入备份配置文件、日历或通讯录。 4. 针对不同的备份配置选择导入相对的文件格式。 5. 点击开始导入，确认导入成功后需要重启AOneMail。

方法 实例方法 clone() Response 创建Response对象的副本。 redirect() Response 使用其他URL创建新的响应。 其他实例方法 Response实现Body的接口，所以以下方法同样可用： arrayBuffer() Promise 读取Response对象并且将它设置为已读（因为Response对象被设置为了stream的方式，所以它们只能被读取一次），并返回一个被解析为ArrayBuffer格式的Promise对象。 formData() Promise 读取Response对象并且将它设置为已读（因为Response对象被设置为了stream的方式，所以它们只能被读取一次），并返回一个被解析为FormData格式的Promise对象（即将支持）。 json() Promise 读取Response对象并且将它设置为已读（因为Response对象被设置为了stream的方式，所以它们只能被读取一次），并返回一个被解析为 JSON 格式的Promise对象。 text() Promise 读取Response对象并且将它设置为已读（因为Response对象被设置为了stream的方式，所以它们只能被读取一次），并返回一个被解析为 USVString 格式的Promise对象。 相关参考 示例代码：修改响应 示例代码：热链保护 示例代码：请求聚合 示例代码：URL重定向

本文介绍如何通过UA进行黑白名单限制。 通过UA进行黑白名单限制。 示例代码 javascript //放行UserAgent:Mozilla/5.0的请求 function uaverify(ua){ let regex /Mozilla/5.0/ return regex.test(ua) } async function handle(request) { //401表示鉴权不通过 let statuscode 401 let result 'Verification failed!' try { //解析Request对象中的UA let myHeaders new Headers(request.headers) //封禁空UA if(!myHeaders.get('UserAgent')){ throw new Error('UA is empty!') } //精确匹配，不忽略大小写 if(uaverify(myHeaders.get('UserAgent'))){ statuscode 200 result "Verification succeeded!" } } catch (error) { result result + error } return new Response(result, { "status": statuscode }); } addEventListener('fetch', event > { event.respondWith(handle(event.request)) }) 示例预览 通过火狐浏览器访问，返回鉴权成功。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍如何使用AOne添加OIDC认证源并进行登录。 功能介绍 OIDC是一个基于OAuth2协议的身份认证标准协议。接入后，AOne可使用支持OIDC认证的第三方登录应用作为身份源进行登录认证。 前置条件 请提前准备一个支持OIDC协议的应用服务。 操作步骤 管理员创建OIDC认证源 1、添加认证源 登录AOne零信任工作台，进入扩展认证源列表，点击“添加认证源”，进行OIDC认证源添加。 2、选择认证源类型 根据需求，选择OIDC认证源类型。 3、配置认证源 选择OIDC认证源类型，输入配置参数，完成OIDC认证源配置。 注意：配置认证源所需的参数信息需从第三方OIDC协议的服务应用详情中获取，系统可根据Issuer URL自动解析并填充授权端点、令牌端点、公钥端点、用户信息端点信息，完成配置后点击“下一步”进行保存。 配置参数说明： 参数 说明 认证源名称 必填，默认“OIDC”，可修改，最长16个字。 Scopes 非必填，请求授权端点时携带的Scopes信息，代表申请的授权范围。 Issuer URL 必填，ODIC Issuer发现端点，在第三方OIDC协议的服务应用详情中获取。 授权端点 必填，Authorization授权端点，用于获取授权码。由系统根据Issuer URL自动解析获取。 令牌端点 必填，Token令牌端点，用于使用授权码换取令牌。由系统根据Issuer URL自动解析获取。 公钥端点 必填，JWKS公钥端点，用于校验idtoken来源有效性。由系统根据Issuer URL自动解析获取。 用户信息端点 必填，用户信息userinfo端点，用于获取用户基本信息。由系统根据Issuer URL自动解析获取。 授权模式 非必填，固定值，不提供配置，默认为授权码模式。 Client ID 必填，ODIC应用的Client ID。 Client Secret 必填，ODIC应用的Client Secret。 登录模式 必填，以下两个模式进行选择一个： 登录注册：首次登录时校验该ODIC账号是否已存在，不存在创建账号。 仅用于登录：只能登录既有账号，首次登录需要先与之前的账号绑定，账号密码为AOne用的账号密码，绑定后不再需要。 适用范围 必填，固定值，不提供配置，展示认证源适用的终端。 Logo 非必填，在认证源列表展示的Logo。

方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1.在您的主域名源站根目录下，创建文件名为：dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），TXT记录值为根据域名随机生成。 2.文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3.如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍域名创建完成后如何变更加速区域。 功能介绍 域名创建完成后，在使用过程中如需变更域名的加速区域，可在IP应用加速接入列表中对域名的加速区域进行变更。 配置说明 在IP应用加速接入列表中找到您要变更的域名，点击操作列的区域变更，在弹出框中选择要变更的加速区域，点击“确定”完成域名加速区域的变更。 注意事项 仅已启用状态的域名，才允许变更加速区域。 配置界面