通过办公安全平台保障钉钉用户安全访问

建立办公安全平台SASE(Secure Access Service Edge)与钉钉的连接,使您的企业用户直接以钉钉账号登录办公安全平台,方便您在办公安全平台管控钉钉用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立办公安全平台与钉钉的连接。

应用场景

SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用钉钉管理企业的用户信息,此时,您可以通过SASE与钉钉的连接,实现企业用户直接使用钉钉账号登录SASE客户端,无需再维护一套SASE的身份管理系统,为您降低用户信息的维护成本。

操作流程

image

前提条件

已开通SASE,并已安装SASE客户端。具体操作,请参见办公安全平台计费概述

重要

本文关于钉钉的描述均是指在钉钉新版控制台上的操作。关于钉钉开放平台的内容仅供参考,具体内容请参见钉钉官网文档。

步骤1:创建钉钉应用和添加应用首页地址

1.1 创建钉钉应用

当您需要将钉钉数据同步到SASE,首先要在钉钉开放平台创建钉钉应用。

说明
  • 钉钉机器人的Webhook自2024年01月01日起逐步分阶梯商业化,从02月01日开始全量商业化,免费额度为5000次/自然月。更多信息,请参见Webhook免费转商业化公告

  • 在钉钉应用市场,开通阿里云小程序,可以通过钉钉免费获得告警推送,单击立即开通

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,单击应用开发

  2. 在左侧导航栏,选择企业内部应用 > 钉钉应用

  3. 钉钉应用页面,单击创建应用

    image

  4. 创建企业内部应用对话框,参考如下表格说明设置相关参数。

    配置项

    说明

    示例值

    应用名称

    应用的名称。

    应用名称只能由中文、英文大写字符、小写字符及阿拉伯数字组成。

    阿里云SASE

    应用描述

    应用的补充说明。

    阿里云SASE

    应用图标

    应用的图标。

    上传图片的格式为JPG或者PNG、像素在240*240 px以上、长宽比为1:1、图片大小在120 KB以内的无圆角图标。

    图标

  5. 单击确定创建

1.2 配置首页地址

为创建的阿里云SASE应用添加首页地址。

  1. 钉钉应用页面,单击已创建的阿里云SASE

  2. 在左侧导航栏,选择应用能力 > 网页应用

  3. 网页应用页面,添加应用首页地址为https://login.aliyuncsas.com/ui/dingAuth/,单击保存

    image

步骤2:添加接口权限、安全设置和分享设置

2.1 添加接口权限

添加接口权限才能成功同步钉钉组织机构,添加应用首页地址可以更安全地访问内网应用。

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,单击应用开发

  2. 在左侧导航栏,选择企业内部应用 > 钉钉应用

  3. 钉钉应用页面,单击已创建的阿里云SASE

    image

  4. 在左侧导航栏,单击权限管理

  5. 权限管理页面,设置权限范围,并开通如下权限。

    权限范围选择全部员工

    • 个人手机号信息

    • 通讯录个人信息读权限

    • 企业员工手机号信息

    • 邮箱等个人信息

    • 通讯录部门信息读权限

    • 成员信息读权限

    • 通讯录部门成员读权限

2.2 安全设置

通过配置回调域名,员工可以使用钉钉账密或者移动端扫码登录SASE客户端。

  1. 左侧导航栏,选择开发配置 > 安全设置

  2. 安全设置页面,服务器出口IP中设置调用钉钉服务端API的服务器IP列表。

  3. 重定向URL(回调域名)设置为https://login.aliyuncsas.com/open-dev/dingtalk,单击保存

    image

  4. 在左侧导航栏,选择开发配置 > 分享设置

  5. 分享设置页面,接入登录区域,添加回调域名为https://login.aliyuncsas.com/open-dev/dingtalk。

    image

2.3 分享设置

您可根据业务需要配置分享设置,用户一键登录后可快速实现内容分享,方便企业内部信息共享和协作。

分享设置页面,接入分享区域单击编辑,按照下方表格配置iOS分享Android分享相关参数后,单击保存完成设置。

类别

配置项

取值

iOS分享

iOS Bundle ID

com.aliyun.security.saseiosApp

Android分享

Android包名称

com.aliyun.security.sase

Android签名

294e7d6880381b01ea56d91ee6656ff0

image

步骤3:建立办公安全平台与钉钉数据的连接

配置完钉钉数据后,您需要在SASE的身份源设置功能中建立与钉钉数据的连接。

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 身份源管理页签,单击添加身份源

  3. 添加身份源面板,设置认证类型单身份源企业身份源钉钉,参考如下表格说明设置相关参数。

    配置项

    说明

    示例值

    配置名称

    钉钉的名称。

    长度为2~100个字符,支持输入汉字与字母、数字、短划线(-)和下划线(_)。

    test

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在办公安全平台客户端界面,方便您登录时知晓身份源信息。

    钉钉登录

    专属钉配置

    如果您需要使用专属钉,请勾选该项。

    -

    钉钉配置

    • CorpId:企业在钉钉中的标识,每个企业拥有唯一的CorpId。

      钉钉开放平台首页获取该值。

    • 凭证与基础信息:在钉钉开放平台创建应用的左侧导航栏,选择基础信息 > 凭证与基础信息,在该页面的应用凭证区域获取该值。

    • CorpId:ding3608be7c4e5266ce4ac5d6980864****

    • AppKey:dingwjlht8b93ara****

    • AppSecret:1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****

    组织架构同步

    全部部门

    事件订阅

    配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。

    • 加密aes_key

      加密aes_key从钉钉开放平台创建应用的左侧导航栏开发配置下,单击事件订阅,在该页面获取。

    • 加密token

      加密aes_key从钉钉开放平台创建应用的左侧导航栏开发配置下,单击事件订阅,在该页面获取。

    • 加密aes_key:SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM******

    • 加密token:YYwR3A3rV6mrvpC******

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果您当前没有启用的身份源,您可以直接开启创建的身份源。如果您当前存在已启用的身份源,您需要在身份证管理页面先禁用其他身份源,然后再开启您新创建的身份源。

    • 已禁用:您可以先禁用新创建的身份源,稍后启用。

    已启用

  4. 单击确定

    为了保障您配置的数据正确,您可以单击测试连接验证数据。

步骤4:配置钉钉事件订阅

配置钉钉事件订阅,可确保应用能够实时接收事件通知。

  1. 使用管理员账号登录钉钉开放平台。在顶部菜单栏,单击应用开发

  2. 在左侧导航栏,选择企业内部应用 > 钉钉应用

  3. 钉钉应用页面,单击已创建的阿里云SASE

  4. 配置事件订阅。

    1. 在左侧导航栏,单击事件订阅推送方式选择HTTP推送,输入加密aes_key签名token请求网址,具体配置请参考以下步骤。

      1. 办公安全平台控制台找到步骤三中创建的身份源实例,在编辑身份源面板复制请求地址,粘贴到此处钉钉开放平台应用事件订阅配置中对应的请求网址

      2. 复制此处钉钉开放平台应用事件订阅生成加密aes_key签名token,粘贴到办公安全平台控制台编辑身份源面板中所对应的加密aes_key加密token配置项,具体可参考下方配置项截图。

        image

      3. 配置完成后,分别保存身份源和事件订阅中的配置项。

    2. 事件订阅页面,选择开启的通讯录事件。

      包含通信录用户增加通讯录用户更改通讯录用户离职通讯录企业部门创建通讯录企业部门修改通讯录企业部门删除。关于如何配置钉钉的事件订阅,请参见事件订阅

步骤5:查看连接是否建立成功

  1. 打开您已安装的SASE App。

  2. 在欢迎页面,输入企业认证标识,然后单击确定

    您可以访问设置页面,获取企业认证标识

  3. 输入钉钉用户账号和密码,单击登录,或扫描二维码登录。

    若登录成功,表示连接已经建立成功。

    image