通过IDaaS同步钉钉数据到SASE

您也可以通过应用身份服务IDaaS(Alibaba Cloud IDentity as a Service)将钉钉数据同步到办公安全平台SASE(Secure Access Service Edge),以便使用SASE管控钉钉用户的访问权限。本文主要介绍如何将钉钉数据同步到办公安全平台。

前提条件

操作流程

在使用办公安全平台之前,您需要先将钉钉数据同步到IDaaS,然后再建立办公安全平台IDaaS之间的连接。

重要

本文关于钉钉的描述均是指在钉钉新版控制台上的操作。

image

步骤一:创建钉钉应用

当您需要将钉钉数据同步到办公安全平台,您需要在钉钉开放平台上先创建钉钉应用。通过创建钉钉应用获取AppKeyAppSecret,用于免登录过程中验证身份。

  1. 使用管理员账号登录钉钉开放平台

  2. 在顶部菜单栏,单击应用开发

  3. 在左侧导航栏,单击钉钉应用。然后单击创建应用

  4. 创建应用面板,请参考如下表格说明设置相关参数。

    配置项

    说明

    示例值

    应用名称

    应用的名称。

    应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。

    阿里云SASE

    应用描述

    应用的补充说明。

    阿里云SASE

    应用图标

    应用的图标。

    请上传图片的格式为JPG或者PNG、像素在240*240 px以上、长宽比为1:1、图片大小在2MB以内的无圆角图标。

    图标图标

  5. 单击确定创建

步骤二:添加认证源

您需要在应用身份管理先添加并启用一个认证源,才能开启外部认证,用于您后续登录办公安全平台

  1. 使用管理员账号登录IDaaS管理控制台。在EIAM云身份服务 > 旧版页签,单击已创建的实例ID。

  2. 在左侧导航栏,选择认证 > 认证源

  3. 认证源页面,单击右上角的添加钉钉认证源

  4. 在添加认证源页面,单击钉钉微应用登录的右侧操作列中添加认证源

  5. 添加认证源(钉钉微应用登录)面板,请参考如下表格说明设置相关参数,然后单击提交

    配置项

    说明

    示例值

    认证源名称

    认证源名称,使用默认值钉钉微应用登录

    钉钉微应用登录

    AgentID

    AgentID从钉钉开放平台上目标应用的凭证与基础信息页面获取。

    320543****

    CorpID

    CorpID从钉钉开放平台上首页获取。

    ding191d0eb30a8aadf2ee0f45d8e4f7****

    AppKey

    AppKey从钉钉开放平台上目标应用的凭证与基础信息页面获取。

    ding191d0eb30a8aadf2ee0f45d8e4f7****

    AppSecret

    AppSecret从钉钉开放平台上目标应用的凭证与基础信息页面获取。

    7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****

    image

  6. 完成添加认证源后,返回到认证源页面,开启已添加的钉钉微应用登录

步骤三:设置钉钉应用并发布

当您添加并开启认证源后,您需要根据如下步骤设置并发布钉钉应用。

  1. 使用管理员账号登录钉钉开放平台

  2. 在顶部菜单栏,单击应用开发

  3. 在左侧导航栏,单击钉钉应用

  4. 钉钉应用页面,单击已创建的阿里云SASE

  5. 在阿里云SASE H5微应用页面的左侧导航栏,选择开发配置 > 安全设置

  6. 安全设置页面,添加服务器出口IP端内免登地址信息。

    说明
    • IDaaS服务器出口IP需要联系IDaaS服务团队获取。具体路径,请参考咨询反馈

    • 应用首页地址从IDaaS管理控制台上目标认证源的认证源详情面板中获取。

      例如:https://aliyundoc.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id},其中agentId为钉钉应用的AgentIdappId为创建的IDaaS应用(SAML)的应用ID。关于创建IDaaS应用(SAML)的具体操作,请参见步骤二:创建SAML应用并授权访问应用

    image

  7. 版本管理与发布页面,单击确认发布

步骤四:同步钉钉数据

已经完成钉钉应用的发布后,请参考如下步骤同步钉钉数据。

  1. 使用管理员账号登录IDaaS管理控制台。在EIAM云身份服务 > 旧版页签,单击已创建的实例ID。

  2. 同步钉钉数据。

    1. 在左侧导航栏,选择账户 > 机构及组

    2. 机构及组页面,单击配置钉钉同步

    3. 在右侧钉钉同步配置面板,单击新建配置

    4. 请参考如下表格说明设置相关参数,然后单击保存

      配置项

      说明

      示例值

      名称

      钉钉同步配置的名称。支持中文、大小写字母、数字。

      SASEtest

      corpld

      CorpID从钉钉开放平台上首页获取。

      ding191d0eb30a8aadf2ee0f45d8e4f7****

      appKey

      appKey从钉钉开放平台上目标应用的凭证与基础信息页面获取。

      ding191d0eb30a8aadf2ee0f45d8e4f7****

      appSecret

      appSecret从钉钉开放平台上目标应用的凭证与基础信息页面获取。

      7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****

      是否启用

      您需要设置为启用状态,否则将无法同步钉钉数据。

      启用

      邮箱字段

      指定作为主邮箱的邮箱。

      个人邮箱

      默认密码

      用于登录IDaaS平台的默认密码。

      重要

      设置的密码需符合当前的密码策略,否则无法同步钉钉数据。

      ****

    5. 机构及组页面,单击导入 > 钉钉同步 > 组织机构

    6. 选择目标钉钉应用,单击右侧导入。然后单击确定导入

  3. 对钉钉数据授予访问SAML应用的权限。

    1. 在左侧导航栏,选择授权 > 应用授权

    2. 应用授权主体页签的左侧应用区域,单击创建的应用,在右侧账户页签,选中创建的账户,然后单击确定

步骤五:建立SASEIDaaS的连接

将钉钉数据同步到IDaaS后,您需要建立SASEIDaaS的连接,才能使用SASE对钉钉用户的访问权限进行管控。关于建立连接的具体操作,请参见通过办公安全平台保障IDaaS(旧版)用户安全访问

说明

当您建立SASEIDaaS的连接后,您可以使用钉钉扫描二维码的方式登录SASE,不需要使用账号和密码登录了。