通過(guò)辦公安全平臺(tái)保障釘釘用戶安全訪問(wèn)
建立辦公安全平臺(tái)SASE(Secure Access Service Edge)與釘釘?shù)倪B接,使您的企業(yè)用戶直接以釘釘賬號(hào)登錄辦公安全平臺(tái),方便您在辦公安全平臺(tái)管控釘釘用戶的訪問(wèn)權(quán)限,從而保障企業(yè)的辦公數(shù)據(jù)安全。本文介紹如何建立辦公安全平臺(tái)與釘釘?shù)倪B接。
應(yīng)用場(chǎng)景
SASE幫助您管控企業(yè)員工的內(nèi)網(wǎng)訪問(wèn)權(quán)限、互聯(lián)網(wǎng)訪問(wèn)權(quán)限,以及保護(hù)企業(yè)辦公數(shù)據(jù),滿足企業(yè)對(duì)日常辦公安全的需求。當(dāng)您已經(jīng)使用釘釘管理企業(yè)的用戶信息,此時(shí),您可以通過(guò)SASE與釘釘?shù)倪B接,實(shí)現(xiàn)企業(yè)用戶直接使用釘釘賬號(hào)登錄SASE客戶端,無(wú)需再維護(hù)一套SASE的身份管理系統(tǒng),為您降低用戶信息的維護(hù)成本。
操作流程
前提條件
已開(kāi)通SASE,并已安裝SASE客戶端。具體操作,請(qǐng)參見(jiàn)購(gòu)買辦公安全平臺(tái)和設(shè)置。
本文關(guān)于釘釘?shù)拿枋鼍侵冈卺斸斝掳婵刂婆_(tái)上的操作。關(guān)于釘釘開(kāi)放平臺(tái)的內(nèi)容僅供參考,具體內(nèi)容請(qǐng)參見(jiàn)釘釘官網(wǎng)文檔。
步驟1:創(chuàng)建釘釘應(yīng)用和添加應(yīng)用首頁(yè)地址
1.1 創(chuàng)建釘釘應(yīng)用
當(dāng)您需要將釘釘數(shù)據(jù)同步到SASE,首先要在釘釘開(kāi)放平臺(tái)創(chuàng)建釘釘應(yīng)用。
釘釘機(jī)器人的Webhook自2024年01月01日起逐步分階梯商業(yè)化,從02月01日開(kāi)始全量商業(yè)化,免費(fèi)額度為5000次/自然月。更多信息,請(qǐng)參見(jiàn)Webhook免費(fèi)轉(zhuǎn)商業(yè)化公告。
在釘釘應(yīng)用市場(chǎng),開(kāi)通阿里云小程序,可以通過(guò)釘釘免費(fèi)獲得告警推送,單擊立即開(kāi)通。
使用管理員賬號(hào)登錄釘釘開(kāi)放平臺(tái)。在頂部菜單欄,單擊 。
在左側(cè)導(dǎo)航欄,選擇 。
在釘釘應(yīng)用頁(yè)面,單擊創(chuàng)建應(yīng)用。
在創(chuàng)建企業(yè)內(nèi)部應(yīng)用對(duì)話框,參考如下表格說(shuō)明設(shè)置相關(guān)參數(shù)。
配置項(xiàng)
說(shuō)明
示例值
應(yīng)用名稱
應(yīng)用的名稱。
應(yīng)用名稱只能由中文、英文大寫字符、小寫字符及阿拉伯?dāng)?shù)字組成。
阿里云SASE
應(yīng)用描述
應(yīng)用的補(bǔ)充說(shuō)明。
阿里云SASE
應(yīng)用圖標(biāo)
應(yīng)用的圖標(biāo)。
上傳圖片的格式為JPG或者PNG、像素在240*240 px以上、長(zhǎng)寬比為1:1、圖片大小在120 KB以內(nèi)的無(wú)圓角圖標(biāo)。
單擊確定創(chuàng)建。
1.2 配置首頁(yè)地址
為創(chuàng)建的阿里云SASE應(yīng)用添加首頁(yè)地址。
在釘釘應(yīng)用頁(yè)面,單擊已創(chuàng)建的阿里云SASE。
在左側(cè)導(dǎo)航欄,選擇 。
在網(wǎng)頁(yè)應(yīng)用頁(yè)面,添加應(yīng)用首頁(yè)地址為https://login.aliyuncsas.com/ui/dingAuth/,單擊保存。
步驟2:添加接口權(quán)限、安全設(shè)置和分享設(shè)置
2.1 添加接口權(quán)限
添加接口權(quán)限才能成功同步釘釘組織機(jī)構(gòu),添加應(yīng)用首頁(yè)地址可以更安全地訪問(wèn)內(nèi)網(wǎng)應(yīng)用。
使用管理員賬號(hào)登錄釘釘開(kāi)放平臺(tái)。在頂部菜單欄,單擊 。
在左側(cè)導(dǎo)航欄,選擇 。
在釘釘應(yīng)用頁(yè)面,單擊已創(chuàng)建的阿里云SASE。
在左側(cè)導(dǎo)航欄,單擊權(quán)限管理。
在權(quán)限管理頁(yè)面,設(shè)置權(quán)限范圍,并開(kāi)通如下權(quán)限。
權(quán)限范圍選擇全部員工。
個(gè)人手機(jī)號(hào)信息
通訊錄個(gè)人信息讀權(quán)限
企業(yè)員工手機(jī)號(hào)信息
郵箱等個(gè)人信息
通訊錄部門信息讀權(quán)限
成員信息讀權(quán)限
通訊錄部門成員讀權(quán)限
2.2 安全設(shè)置
通過(guò)配置回調(diào)域名,員工可以使用釘釘帳密或者移動(dòng)端掃碼登錄SASE客戶端。
左側(cè)導(dǎo)航欄,選擇 。
在安全設(shè)置頁(yè)面,將重定向URL(回調(diào)域名)設(shè)置為https://login.aliyuncsas.com/open-dev/dingtalk,單擊保存。
在左側(cè)導(dǎo)航欄,選擇 。
在分享設(shè)置頁(yè)面,接入登錄區(qū)域,添加回調(diào)域名為https://login.aliyuncsas.com/open-dev/dingtalk。
2.3 分享設(shè)置
您可根據(jù)業(yè)務(wù)需要配置分享設(shè)置,用戶一鍵登錄后可快速實(shí)現(xiàn)內(nèi)容分享,方便企業(yè)內(nèi)部信息共享和協(xié)作。
在分享設(shè)置頁(yè)面,接入分享區(qū)域單擊編輯,按照下方表格配置iOS分享和Android分享相關(guān)參數(shù)后,單擊保存完成設(shè)置。
類別 | 配置項(xiàng) | 取值 |
iOS分享 | iOS Bundle ID | com.aliyun.security.saseiosApp |
Android分享 | Android包名稱 | com.aliyun.security.sase |
Android簽名 | 294e7d6880381b01ea56d91ee6656ff0 |
步驟3:建立辦公安全平臺(tái)與釘釘數(shù)據(jù)的連接
配置完釘釘數(shù)據(jù)后,您需要在SASE的身份源設(shè)置功能中建立與釘釘數(shù)據(jù)的連接。
登錄辦公安全平臺(tái)控制臺(tái)。在左側(cè)導(dǎo)航欄,選擇 。
在身份源管理頁(yè)簽,單擊添加身份源。
在添加身份源面板,設(shè)置認(rèn)證類型為單身份源、身份源為釘釘,參考如下表格說(shuō)明設(shè)置相關(guān)參數(shù)。
配置項(xiàng)
說(shuō)明
示例值
配置名稱
釘釘?shù)拿Q。
長(zhǎng)度為2~100個(gè)字符,支持輸入漢字與字母、數(shù)字、短劃線(-)和下劃線(_)。
test
描述
該配置的描述信息。
該描述會(huì)作為登錄標(biāo)題顯示在辦公安全平臺(tái)客戶端界面,方便您登錄時(shí)知曉身份源信息。
釘釘?shù)卿?/p>
專屬釘配置
如果您需要使用專屬釘,請(qǐng)勾選該項(xiàng)。
-
釘釘配置
CorpId:企業(yè)在釘釘中的標(biāo)識(shí),每個(gè)企業(yè)擁有唯一的CorpId。
在釘釘開(kāi)放平臺(tái)首頁(yè)獲取該值。
憑證與基礎(chǔ)信息:在釘釘開(kāi)放平臺(tái)創(chuàng)建應(yīng)用的左側(cè)導(dǎo)航欄,選擇 ,在該頁(yè)面的應(yīng)用憑證區(qū)域獲取該值。
CorpId:ding3608be7c4e5266ce4ac5d6980864****
AppKey:dingwjlht8b93ara****
AppSecret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
組織架構(gòu)同步
全部部門
部分部門
如果選擇部分部門,需要添加部門的ID。支持添加多個(gè)部門。
在釘釘管理后臺(tái)內(nèi)部通訊管理頁(yè)面獲取該值。
全部部門
事件訂閱
配置事件訂閱后,企業(yè)員工的組織架構(gòu)會(huì)同步至SASE,實(shí)現(xiàn)企業(yè)員工的組織架構(gòu)調(diào)整或離職場(chǎng)景下SASE安全策略的時(shí)效性。
加密aes_key
加密aes_key從釘釘開(kāi)放平臺(tái)創(chuàng)建應(yīng)用的左側(cè)導(dǎo)航欄開(kāi)發(fā)配置下,單擊事件訂閱,在該頁(yè)面獲取。
加密token
加密aes_key從釘釘開(kāi)放平臺(tái)創(chuàng)建應(yīng)用的左側(cè)導(dǎo)航欄開(kāi)發(fā)配置下,單擊事件訂閱,在該頁(yè)面獲取。
加密aes_key:SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM******
加密token:YYwR3A3rV6mrvpC******
身份源配置狀態(tài)
根據(jù)需要設(shè)置配置狀態(tài)。取值:
已啟用:如果您當(dāng)前沒(méi)有啟用的身份源,您可以直接開(kāi)啟創(chuàng)建的身份源。如果您當(dāng)前存在已啟用的身份源,您需要在身份證管理頁(yè)面先禁用其他身份源,然后再開(kāi)啟您新創(chuàng)建的身份源。
已禁用:您可以先禁用新創(chuàng)建的身份源,稍后啟用。
已啟用
單擊確定。
為了保障您配置的數(shù)據(jù)正確,您可以單擊測(cè)試連接驗(yàn)證數(shù)據(jù)。
步驟4:配置釘釘事件訂閱
配置釘釘事件訂閱,可確保應(yīng)用能夠?qū)崟r(shí)接收事件通知。
使用管理員賬號(hào)登錄釘釘開(kāi)放平臺(tái)。在頂部菜單欄,單擊 。
在左側(cè)導(dǎo)航欄,選擇 。
在釘釘應(yīng)用頁(yè)面,單擊已創(chuàng)建的阿里云SASE。
配置事件訂閱。
在左側(cè)導(dǎo)航欄,單擊事件訂閱。推送方式選擇HTTP推送,輸入加密aes_key、簽名token、請(qǐng)求網(wǎng)址,具體配置請(qǐng)參考以下步驟。
在辦公安全平臺(tái)控制臺(tái)找到步驟三中創(chuàng)建的身份源實(shí)例,在編輯身份源面板復(fù)制請(qǐng)求地址,粘貼到此處釘釘開(kāi)放平臺(tái)應(yīng)用事件訂閱配置中對(duì)應(yīng)的請(qǐng)求網(wǎng)址。
復(fù)制此處釘釘開(kāi)放平臺(tái)應(yīng)用事件訂閱生成加密aes_key、簽名token,粘貼到辦公安全平臺(tái)控制臺(tái)編輯身份源面板中所對(duì)應(yīng)的加密aes_key、加密token配置項(xiàng),具體可參考下方配置項(xiàng)截圖。
配置完成后,分別保存身份源和事件訂閱中的配置項(xiàng)。
在事件訂閱頁(yè)面,選擇開(kāi)啟的通訊錄事件。
包含通信錄用戶增加、通訊錄用戶更改、通訊錄用戶離職、通訊錄企業(yè)部門創(chuàng)建、通訊錄企業(yè)部門修改、通訊錄企業(yè)部門刪除。關(guān)于如何配置釘釘?shù)氖录嗛?,?qǐng)參見(jiàn)事件訂閱。
步驟5:查看連接是否建立成功
打開(kāi)您已安裝的SASE App。
在歡迎頁(yè)面,輸入企業(yè)認(rèn)證標(biāo)識(shí),然后單擊確定。
您可以訪問(wèn)設(shè)置頁(yè)面,獲取企業(yè)認(rèn)證標(biāo)識(shí)。
輸入釘釘用戶賬號(hào)和密碼,單擊登錄,或掃描二維碼登錄。
若登錄成功,表示連接已經(jīng)建立成功。