当您需要使用云安全访问服务(CSAS)对钉钉用户的内网访问行为权限进行管控时,您需要将钉钉数据同步到云安全访问服务。本文主要介绍如何将钉钉数据同步到云安全访问服务。

前提条件

背景信息

在使用云安全访问之前,您需要先将钉钉数据同步到应用身份服务,然后再建立云安全访问服务与应用身份服务之间的连接。实现流程图
注意 钉钉控制台目前有新版和旧版之分。因为新版是体验版本,默认显示旧版本,所以本文中关于钉钉的描述均是指在钉钉旧版本控制台上的操作。

步骤一:创建钉钉应用

当您需要将钉钉数据同步到云安全访问服务,您需要在钉钉开发平台上先创建钉钉应用。通过创建钉钉应用获取AppKeyAppSecret,用于免登录过程中验证身份。

  1. 使用管理员账号登录钉钉开发平台
  2. 在顶部菜单栏,单击应用开发
  3. 在左侧导航栏,选择企业内部开发 > H5微应用
  4. H5微应用页面,单击创建应用
  5. 创建企业内部应用对话框中,请参考如下表格说明设置相关参数。然后单击确定创建创建应用
    名称 说明 示例值
    应用类型 应用的类型。您需要配置H5微应用。 H5微应用
    应用名称 应用的名称。

    应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。

    CSAStest
    应用描述 应用的补充说明。 test
    应用图标 应用的图标。

    请上传图片的格式为JPG或者PNG、像素在240*240px以上、长宽比为1:1 、图片大小在120 KB以内的无圆角图标。

    默认图标
    开发方式 应用的开发方式。 企业自助开发
  6. 单击页面上方权限管理
    您需要对新创建的H5微应用添加关联组织机构列表获取权限才能成功同步钉钉组织机构。权限管理
  7. 权限管理页签,单击添加接口权限
  8. 添加接口权限对话框中,从可添加列表中,选择关联组织机构列表获取权限,然后单击确认添加接口权限

步骤二:添加认证源

您需要在应用身份管理先添加并启用一个认证源,才能开启外部认证,用于您后续登录云安全访问服务。

  1. 使用管理员账号登录IDaaS管理控制台
  2. 在左侧导航栏,选择认证 > 认证源
  3. 认证源页面,单击右上角的添加钉钉认证源
  4. 在添加认证源页面,单击钉钉微应用登录的右侧操作列中添加认证源
  5. 添加认证源(钉钉微应用登录)面板,请参考如下表格说明设置相关参数,然后单击提交添加认证源
    名称 说明 示例值
    认证源名称 认证源名称,使用默认值钉钉微应用登录 钉钉微应用登录
    AgentID AgentID从钉钉开发平台上目标应用的基础信息页面获取。 117024xxxx
    CorpID CorpID从钉钉开发平台上首页获取。 ding3608be7c4e5266ce4ac5d6980864xxxx
    AppKey AppKey从钉钉开发平台上目标应用的基础信息页面获取。 dingwjlht8b93araxxxx
    AppSecret AppSecret从钉钉开发平台上目标应用的基础信息页面获取。 1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWAxxxx
  6. 完成添加认证源后,返回到认证源页面,开启刚添加的钉钉微应用登录

步骤三:设置钉钉应用并发布

当您添加并开启认证源后,您需要根据如下步骤设置并发布钉钉应用。

  1. 使用管理员账号登录钉钉开发平台
  2. 在顶部菜单栏,单击应用开发
  3. 在左侧导航栏,选择企业内部开发 > H5微应用
  4. H5微应用页面,单击目标应用,选择开发管理
  5. 开发管理页面,单击右上角的修改,添加服务器出口IP应用首页地址信息。
    说明
    • IDaaS服务器出口IP需要联系IDaaS服务团队获取。具体路径,请参考IDaaS咨询和反馈
    • 应用首页地址从IDaaS管理控制台上目标认证源的认证源详情面板中获取。

      例如:https://qauhtkwjeu.login.aliyunidaas.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id},其中agentId为钉钉应用的AgentIdappId为创建的IDaaS应用(SAML)的应用ID。关于创建IDaaS应用(SAML)的具体操作,请参见步骤二:创建SAML应用并授权访问应用

  6. 版本管理与发布页面,单击确认发布

步骤四:同步钉钉数据

已经完成钉钉应用的发布后,请参考如下步骤同步钉钉数据。

  1. 使用管理员账号登录IDaaS管理控制台
  2. 同步钉钉数据。
    1. 在左侧导航栏,选择账户 > 机构及组
    2. 机构及组页面,单击配置钉钉同步
    3. 在右侧钉钉同步配置面板,单击新建配置
    4. 请参考如下表格说明设置相关参数,然后单击保存同步配置
      名称 描述 示例值
      名称 钉钉同步配置的名称。支持中文、大小写字母、数字。 CSAStest
      corpld CorpID从钉钉开发平台上首页获取。 ding3608be7c4e5266ce4ac5d6980864xxxx
      appKey appKey从钉钉开发平台上目标应用的基础信息页面获取。 dingwjlht8b93araxxxx
      appSecret appSecret从钉钉开发平台上目标应用的基础信息页面获取。 AppSecret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWAxxxx
      是否启用 您需要设置为启用状态,否则将无法同步钉钉数据。 启用
      邮箱字段 指定作为主邮箱的邮箱。 个人邮箱
      默认密码 用于登录IDaaS平台的默认密码。
      注意 设置的密码需符合当前的密码策略,否则无法同步钉钉数据。
      xxxx
    5. 机构及组页面,单击导入 > 钉钉同步 > 组织机构
    6. 选择目标钉钉应用,单击右侧导入。然后单击确定导入导入
  3. 对钉钉数据授予访问SAML应用的权限。
    1. 在左侧导航栏,选择授权 > 应用授权
    2. 应用授权主体页签的左侧应用区域,单击创建的应用,在右侧账户页签,选中创建的账户,然后单击确定应用授权

步骤五:建立云安全访问服务与应用身份服务的连接

将钉钉数据同步到应用身份服务后,您需要建立云安全访问服务与应用身份服务的连接,才能使用云安全访问服务(CSAS)对钉钉用户的内网访问行为权限进行管控。关于建立连接的具体操作,请参见建立云安全访问服务与应用身份服务的连接

说明 当您建立云安全访问服务与应用身份服务的链接后,您可以使用钉钉扫描二维码的方式登录云安全访问服务,不需要使用账号和密码登录了。