通过办公安全平台保障钉钉用户安全访问_办公安全平台(SASE)-阿里云帮助中心

建立办公安全平台SASE（Secure Access Service Edge）与钉钉的连接，使您的企业用户直接以钉钉账号登录SASE，方便您在SASE管控钉钉用户的访问权限，从而保障企业的办公数据安全。本文介绍如何建立SASE与钉钉的连接。

应用场景

SASE帮助您管控企业员工的内网访问权限、互联网访问权限，以及保护企业办公数据，满足企业对日常办公安全的需求。当您已经使用钉钉管理企业的用户信息，此时，您可以通过SASE与钉钉的连接，实现企业用户直接使用钉钉账号登录SASE客户端，无需再维护一套SASE的身份管理系统，为您降低用户信息的维护成本。

操作流程

前提条件

已开通办公安全平台，并安装SASE客户端。

重要

本文关于钉钉的描述均是指在钉钉新版控制台上的操作。关于钉钉开放平台的内容仅供参考，具体内容请参见钉钉官网文档。

步骤1：创建钉钉应用和添加应用首页地址

1.1 创建钉钉应用

当您需要将钉钉数据同步到SASE，首先要在钉钉开放平台创建钉钉应用。

说明

钉钉机器人的Webhook自2024年01月01日起逐步分阶梯商业化，从02月01日开始全量商业化，免费额度为5000次/自然月。更多信息，请参见Webhook免费转商业化公告。
在钉钉应用市场，开通阿里云小程序，可以通过钉钉免费获得告警推送，单击立即开通。

使用管理员账号登录钉钉开放平台。在顶部菜单栏，单击应用开发。
在左侧导航栏，选择企业内部应用 > 钉钉应用。
在钉钉应用页面，单击创建应用。

在创建企业内部应用对话框，参考如下表格说明设置相关参数。

配置项	说明	示例值
应用名称	应用的名称。应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。	阿里云SASE
应用描述	应用的补充说明。	阿里云SASE
应用图标	应用的图标。上传图片的格式为JPG或者PNG、像素在240*240 px以上、长宽比为1:1、图片大小在120 KB以内的无圆角图标。

单击确定创建。

1.2 配置首页地址

为创建的阿里云SASE应用添加首页地址。

在钉钉应用页面，单击已创建的阿里云SASE。
在左侧导航栏，选择应用能力 > 网页应用。
在网页应用页面，添加应用首页地址为https://login.aliyuncsas.com/ui/dingAuth/，单击保存。

步骤2：添加接口权限、安全设置和分享设置

2.1 添加接口权限

添加接口权限才能成功同步钉钉组织机构，添加应用首页地址可以更安全地访问内网应用。

使用管理员账号登录钉钉开放平台。在顶部菜单栏，单击应用开发。
在左侧导航栏，选择企业内部应用 > 钉钉应用。
在钉钉应用页面，单击已创建的阿里云SASE。
在左侧导航栏，单击权限管理。
在权限管理页面，设置权限范围，并开通如下权限。
权限范围选择全部员工。
- 个人手机号信息
- 通讯录个人信息读权限
- 企业员工手机号信息
- 邮箱等个人信息
- 通讯录部门信息读权限
- 成员信息读权限
- 通讯录部门成员读权限

2.2 安全设置

通过配置回调域名，员工可以使用钉钉账密或者移动端扫码登录SASE客户端。

左侧导航栏，选择开发配置 > 安全设置。
在安全设置页面，服务器出口IP中设置调用钉钉服务端API的服务器IP列表。
将重定向URL（回调域名）设置为https://login.aliyuncsas.com/open-dev/dingtalk，单击保存。
在左侧导航栏，选择开发配置 > 分享设置。
在分享设置页面，接入登录区域，添加回调域名为https://login.aliyuncsas.com/open-dev/dingtalk。

2.3 分享设置

您可根据业务需要配置分享设置，用户一键登录后可快速实现内容分享，方便企业内部信息共享和协作。

在分享设置页面，接入分享区域单击编辑，按照下方表格配置iOS分享和Android分享相关参数后，单击保存完成设置。

类别	配置项	取值
iOS分享	iOS Bundle ID	com.aliyun.security.saseiosApp
Android分享	Android包名称	com.aliyun.security.sase
Android分享	Android签名	294e7d6880381b01ea56d91ee6656ff0

步骤3：建立办公安全平台与钉钉数据的连接

配置完钉钉数据后，您需要在SASE的身份源设置功能中建立与钉钉数据的连接。

登录办公安全平台控制台。
在左侧导航栏，选择身份认证 > 身份接入。
在身份同步页签，单击新增身份源。
在新增身份源面板中，选择钉钉，然后单击开始配置，根据配置向导完成相关配置。

在基础配置向导中，参考下表内容进行配置。

配置项	说明	示例值
身份源名称	钉钉的名称。长度为2~100个字符，支持输入汉字与字母、数字、短划线（-）和下划线（_）。	test
描述	该配置的描述信息。该描述会作为登录标题显示在办公安全平台客户端界面，方便您登录时知晓身份源信息。	钉钉登录
身份源状态	根据需要配置身份源状态。取值：已开启：创建成功后开启身份源开关。已关闭：创建成功后关闭身份源开关。重要关闭身份源开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。	已开启
CorpId	企业在钉钉中的标识，每个企业拥有唯一的CorpId。从钉钉开放平台上首页获取CorpID。	ding3608be7c4e5266ce4ac5d6980864****
AppKey	钉钉开放平台中创建应用的AppKey。从钉钉开放平台上目标应用的凭证与基础信息页面获取AppKey。	dingwjlht8b93ara****
AppSecret	钉钉开放平台中创建应用的AppSecret。从钉钉开放平台上目标应用的凭证与基础信息页面获取AppSecret。	1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
高级配置	钉钉类型：选择标准钉或者专属钉。事件订阅：配置事件订阅后，企业员工的组织架构会同步至SASE，实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。加密 aes_key 从钉钉开放平台上目标应用的事件订阅页面获取加密aes_key。加密token 从钉钉开放平台上目标应用的事件订阅页面获取加密token。	加密aes_key：SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM**** 加密token：YYwR3A3rV6mrvpC****
自动同步	开启自动同步开关后，系统将自动根据同步模式从钉钉同步相关信息。如果您未开启自动同步，需要手动同步组织架构，具体操作，请参见查看同步记录。	已开启
同步员工信息	开启同步员工信息开关后，系统将根据自动同步周期，自动从钉钉同步员工信息。说明若未开启自动同步功能，则不执行同步员工信息功能。	已开启
自动同步周期	设置自动同步周期，支持设置每1小时-每24小时自动同步一次。	24小时

同时为您提供了配置所需的相关连接，您可以单击面板下方的复制连接。

复制请求网址：该值用于在钉钉开放平台设置订阅管理。
复制应用首页地址：该值用于在钉钉开放平台查看应用详细信息。
复制回调域名：该值用于在钉钉开放平台设置回调域名。

单击连通性测试，测试成功后，单击下一步。
说明
如果提示连接失败，请检查服务器地址和服务器端口等信息是否填写错误。

在同步配置向导中，对组织架构的同步范围及字段映射进行配置，然后单击确认。

配置项

说明

组织架构同步

配置同步组织架构的范围。

全部同步：将钉钉的组织架构全部同步到SASE系统中。
部分同步：选择需要同步的组织架构。

字段同步映射

配置钉钉组织架构字段与SASE同步字段的映射关系。

说明

如果SASE系统内置的映射后本地字段无法满足您的业务需求，您可以单击列表右上方的查看扩展字段，在查看扩展字段面板中对扩展字段进行新增、编辑、删除等操作。

步骤4：配置钉钉事件订阅

配置钉钉事件订阅，可确保应用能够实时接收事件通知。

使用管理员账号登录钉钉开放平台。在顶部菜单栏，单击应用开发。
在左侧导航栏，选择企业内部应用 > 钉钉应用。
在钉钉应用页面，单击已创建的阿里云SASE。
配置事件订阅。
1. 在左侧导航栏，单击事件订阅。推送方式选择HTTP推送，输入加密aes_key、签名token、请求网址，具体配置请参考以下步骤。
  1. 在办公安全平台控制台找到步骤三中创建的身份源实例，在编辑身份源面板复制请求地址，粘贴到此处钉钉开放平台应用事件订阅配置中对应的请求网址。
  2. 复制此处钉钉开放平台应用事件订阅生成加密aes_key、签名token，粘贴到办公安全平台控制台编辑身份源面板中所对应的加密aes_key、加密token配置项，具体可参考下方配置项截图。
  3. 配置完成后，分别保存身份源和事件订阅中的配置项。
2. 在事件订阅页面，选择开启的通讯录事件。
  包含通信录用户增加、通讯录用户更改、通讯录用户离职、通讯录企业部门创建、通讯录企业部门修改、通讯录企业部门删除。关于如何配置钉钉的事件订阅，请参见事件订阅。

步骤5：查看连接是否建立成功

打开您已安装的SASE App。
输入企业认证标识，然后单击确认。
您可以登录办公安全平台控制台。在左侧导航栏的设置页面，获取企业认证标识。
输入钉钉用户账号和密码，单击登录，或扫描二维码登录。
若登录成功，表示连接已经建立成功。