建立办公安全平台SASE(Secure Access Service Edge)与钉钉的连接,使您的企业用户直接以钉钉账号登录办公安全平台,方便您在办公安全平台管控钉钉用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与钉钉的连接。

前提条件

已开通SASE,并已安装SASE客户端。具体操作,请参见购买办公安全平台账户设置

注意 本文关于钉钉的描述均是指在钉钉新版控制台上的操作。关于钉钉开放平台的内容仅供参考,具体内容请参见钉钉官网文档。

应用场景

SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用钉钉管理企业的用户信息,此时,您可以通过SASE与钉钉的连接,实现企业用户直接使用钉钉账号登录SASE客户端,无需再维护一套SASE的身份管理系统,为您降低用户信息的维护成本。

操作流程

流程图

步骤一:创建钉钉应用

当您需要将钉钉数据同步到SASE,首先要在钉钉开放平台创建钉钉应用。

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,选择应用开发 > 企业内部开发
  2. 企业内部开发页面的左侧导航栏,单击钉钉应用
  3. 钉钉应用页面,单击创建应用
  4. 创建企业内部应用对话框,请参考如下表格说明设置相关参数。
    配置项 说明 示例值
    应用类型 应用的类型。您需要配置H5微应用。 H5微应用
    应用名称 应用的名称。

    应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。

    		 阿里云SASE
    应用描述 应用的补充说明。 阿里云SASE
    应用图标 应用的图标。

    请上传图片的格式为JPG或者PNG、像素在240*240 px以上、长宽比为1:1、图片大小在120 KB以内的无圆角图标。

    		 图标
    开发方式 应用的开发方式。 企业自助开发
  5. 单击确定创建

步骤二:添加接口权限和应用首页地址

添加接口权限才能成功同步钉钉组织机构,添加应用首页地址可以更安全地访问内网应用。

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,选择应用开发 > 企业内部开发
  2. 企业内部开发页面的左侧导航栏,单击钉钉应用
  3. 钉钉应用页面,单击已创建的阿里云SASE
  4. 在阿里云SASE H5微应用页面的左侧导航栏,单击权限管理
  5. 权限管理页面,设置权限范围,并开通如下权限。
    • 个人手机号信息
    • 通讯录个人信息读权限
    • 企业员工手机号信息
    • 邮箱等个人信息
    • 通讯录部门信息读权限
    • 成员信息读权限
    • 通讯录部门成员读权限
  6. 在左侧导航栏,单击开发管理
  7. 开发管理页面,添加应用首页地址
    应用首页地址:https://login.aliyuncsas.com/ui/dingAuth/。

    您可以在SASE控制台的身份源管理页面,添加身份源信息时设置身份源钉钉,获取该值。

步骤三:配置钉钉免登录与分享、事件订阅

当企业员工使用PC终端时,可通过钉钉扫码登录SASE客户端;当企业员工使用移动终端时,可通过调用钉钉应用程序登录SASE客户端。

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,选择应用开发 > 企业内部开发
  2. 企业内部开发页面的左侧导航栏,单击钉钉应用
  3. 钉钉应用页面,单击已创建的阿里云SASE
  4. 配置钉钉登录与分享。
    1. 在阿里云SASE H5微应用页面的左侧导航栏,单击钉钉登录与分享
    2. 钉钉登录与分享页面,配置接入登录与接入分享。
      • 接入登录:输入回调域名和应用首页地址。

        回调域名:https://login.aliyuncsas.com/open-dev/dingtalk。

        应用首页地址:https://login.aliyuncsas.com/ui/dingAuth/。

        您可以在办公安全平台控制台的身份源管理页面,添加身份源信息时设置身份源钉钉,获取该值。

      • 接入分享:
        • iOS分享:设置iOS Bundle IDcom.aliyun.security.saseiosApp
        • Android分享:设置Android包名称com.aliyun.security.sase;设置Android签名294e7d6880381b01ea56d91ee6656ff0
  5. 配置事件订阅。
    1. 在阿里云SASE H5微应用页面的左侧导航栏,单击事件与回调
    2. 事件订阅页面,设置加密aes_key签名token请求网址

      请求网址:您可以访问身份源管理页面,添加身份源信息时设置身份源钉钉,获取该值。

    3. 开启如下通讯录事件。

      包含通信录用户增加通讯录用户更改通讯录用户离职通讯录企业部门创建通讯录企业部门修改通讯录企业部门删除。关于如何配置钉钉的事件订阅,请参见事件订阅

步骤四:建立办公安全平台与钉钉数据的连接

配置完钉钉数据后,您需要在SASE的身份源设置功能中建立与钉钉数据的连接。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份管理 > 身份源管理
  2. 身份源管理页面,单击添加身份源
  3. 添加身份源面板,设置认证类型单身份源身份源钉钉,参考如下表格说明设置相关参数。
    配置项 说明 示例值
    配置名称 钉钉的名称。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    		 test
    描述 该配置的描述信息。

    该描述会作为登录标题显示在办公安全平台客户端界面,方便您登录时知晓身份源信息。

    		钉钉登录
    钉钉配置
    • CorpId:企业在钉钉中的标识,每个企业拥有唯一的CorpId。

      钉钉开放平台首页获取该值。

    • AppKey:钉钉开放平台中创建应用的AppKey。

      钉钉开放平台创建应用的基础信息页面获取该值。

    • AppSecret:钉钉开放平台中创建应用的AppKey。

      钉钉开放平台创建应用的基础信息页面获取该值。

    • CorpId:ding3608be7c4e5266ce4ac5d6980864****
    • AppKey:dingwjlht8b93ara****
    • AppSecret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
    组织架构同步 全部部门
    事件订阅

    配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。

    • 加密aes_key

      加密aes_key从钉钉开放平台上目标应用的事件与订阅页面获取。

    • 加密token

      加密token从钉钉开放平台上目标应用的事件与订阅页面获取。

    • 加密aes_key:PjDqwaxNxPTQNE8Km4d0roa711PR94ZBrkg****
    • 加密token:SDGxz9DGxenm4sgiaglits0SDskkg9sdei3sigk****
    身份源配置状态 请根据需要设置配置状态。取值:
    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。
    • 已禁用:您可以先禁用新创建的身份源,稍后启用。
    		已启用
  4. 单击确定
    为了保障您配置的数据正确,您可以单击测试连接验证数据。

步骤五:查看连接是否建立成功

  1. 打开您已下载的SASE客户端。
  2. 在欢迎页面,输入企业认证标识,然后单击确定
    您可以访问设置页面,获取企业认证标识
  3. 输入钉钉用户账号和密码,单击登录

    登录成功后,当防护状态显示已开启,表示连接已经建立成功。