您也可以通过应用身份服务IDaaS(Alibaba Cloud IDentity as a Service)将钉钉数据同步到办公安全平台SASE(Secure Access Service Edge),以便使用SASE管控钉钉用户的访问权限。本文主要介绍如何将钉钉数据同步到办公安全平台。
前提条件
操作流程
在使用办公安全平台之前,您需要先将钉钉数据同步到IDaaS,然后再建立办公安全平台与IDaaS之间的连接。
本文关于钉钉的描述均是指在钉钉新版控制台上的操作。
步骤一:创建钉钉应用
当您需要将钉钉数据同步到办公安全平台,您需要在钉钉开放平台上先创建钉钉应用。通过创建钉钉应用获取AppKey和AppSecret,用于免登录过程中验证身份。
使用管理员账号登录钉钉开放平台。
在顶部菜单栏,单击应用开发。
在左侧导航栏,单击钉钉应用。然后单击创建应用。
在创建应用面板,请参考如下表格说明设置相关参数。
配置项
说明
示例值
应用名称
应用的名称。
应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。
阿里云SASE
应用描述
应用的补充说明。
阿里云SASE
应用图标
应用的图标。
请上传图片的格式为JPG或者PNG、像素在240*240 px以上、长宽比为1:1、图片大小在2MB以内的无圆角图标。
图标
单击确定创建。
步骤二:添加认证源
您需要在应用身份管理先添加并启用一个认证源,才能开启外部认证,用于您后续登录办公安全平台。
使用管理员账号登录IDaaS管理控制台。在 页签,单击已创建的实例ID。
在左侧导航栏,选择 。
在认证源页面,单击右上角的添加钉钉认证源。
在添加认证源页面,单击钉钉微应用登录的右侧操作列中添加认证源。
在添加认证源(钉钉微应用登录)面板,请参考如下表格说明设置相关参数,然后单击提交。
配置项
说明
示例值
认证源名称
认证源名称,使用默认值钉钉微应用登录。
钉钉微应用登录
AgentID
AgentID从钉钉开放平台上目标应用的凭证与基础信息页面获取。
320543****
CorpID
CorpID从钉钉开放平台上首页获取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppKey
AppKey从钉钉开放平台上目标应用的凭证与基础信息页面获取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppSecret
AppSecret从钉钉开放平台上目标应用的凭证与基础信息页面获取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
完成添加认证源后,返回到认证源页面,开启已添加的钉钉微应用登录。
步骤三:设置钉钉应用并发布
当您添加并开启认证源后,您需要根据如下步骤设置并发布钉钉应用。
使用管理员账号登录钉钉开放平台。
在顶部菜单栏,单击应用开发。
在左侧导航栏,单击钉钉应用。
在钉钉应用页面,单击已创建的阿里云SASE。
在阿里云SASE H5微应用页面的左侧导航栏,选择 。
在安全设置页面,添加服务器出口IP和端内免登地址信息。
说明IDaaS服务器出口IP需要联系IDaaS服务团队获取。具体路径,请参考咨询反馈。
应用首页地址从IDaaS管理控制台上目标认证源的认证源详情面板中获取。
例如:https://aliyundoc.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id},其中agentId为钉钉应用的AgentId,appId为创建的IDaaS应用(SAML)的应用ID。关于创建IDaaS应用(SAML)的具体操作,请参见步骤二:创建SAML应用并授权访问应用。
在版本管理与发布页面,单击确认发布。
步骤四:同步钉钉数据
已经完成钉钉应用的发布后,请参考如下步骤同步钉钉数据。
使用管理员账号登录IDaaS管理控制台。在 页签,单击已创建的实例ID。
同步钉钉数据。
在左侧导航栏,选择
。在机构及组页面,单击配置钉钉同步。
在右侧钉钉同步配置面板,单击新建配置。
请参考如下表格说明设置相关参数,然后单击保存。
配置项
说明
示例值
名称
钉钉同步配置的名称。支持中文、大小写字母、数字。
SASEtest
corpld
CorpID从钉钉开放平台上首页获取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appKey
appKey从钉钉开放平台上目标应用的凭证与基础信息页面获取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appSecret
appSecret从钉钉开放平台上目标应用的凭证与基础信息页面获取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
是否启用
您需要设置为启用状态,否则将无法同步钉钉数据。
启用
邮箱字段
指定作为主邮箱的邮箱。
个人邮箱
默认密码
用于登录IDaaS平台的默认密码。
重要设置的密码需符合当前的密码策略,否则无法同步钉钉数据。
****
在机构及组页面,单击
。选择目标钉钉应用,单击右侧导入。然后单击确定导入。
对钉钉数据授予访问SAML应用的权限。
在左侧导航栏,选择
。在应用授权主体页签的左侧应用区域,单击创建的应用,在右侧账户页签,选中创建的账户,然后单击确定。
步骤五:建立SASE与IDaaS的连接
将钉钉数据同步到IDaaS后,您需要建立SASE与IDaaS的连接,才能使用SASE对钉钉用户的访问权限进行管控。关于建立连接的具体操作,请参见通过办公安全平台保障IDaaS(旧版)用户安全访问。
当您建立SASE与IDaaS的连接后,您可以使用钉钉扫描二维码的方式登录SASE,不需要使用账号和密码登录了。