建立办公安全平台SASE(Secure Access Service Edge)与飞书的连接,使您的企业用户直接以飞书账号登录SASE,方便您在SASE管控飞书用户的访问权限,从而保障企业的办公数据安全。本文介绍如何建立SASE与飞书的连接。
前提条件
已开通SASE,并已安装SASE客户端。具体操作,请参见办公安全平台计费概述。
关于飞书开放平台的内容仅供参考,具体内容请参见飞书官网文档。
应用场景
SASE帮助您管控企业员工的内网访问权限、互联网访问权限,以及保护企业办公数据,满足企业对日常办公安全的需求。当您已经使用飞书管理企业的用户信息,此时,您可以通过SASE与飞书的连接,实现企业用户直接使用飞书账号登录SASE客户端,无需再维护一套SASE的身份管理系统,为您降低用户信息的维护成本。
步骤一:创建飞书自建应用
建立飞书与SASE的连接之前,需要先在飞书开放平台创建飞书应用。通过创建飞书自建应用获取App ID和App Secret,用于飞书账号登录SASE客户端时的身份验证。
使用飞书管理员账号登录飞书开放平台。
创建企业自建应用。
在飞书开放平台首页,单击创建应用。
在创建应用对话框,设置企业自建应用的应用名称和应用描述。然后单击确定创建。
在企业自建应用区域,单击已创建的应用。
在左侧导航栏,单击凭证与基础信息。执行如下操作,然后单击保存。
在应用凭证区域,获取App ID和App Secret。
在基础信息区域,上传应用图标。
建议您使用SASE的图标作为应用logo。如下所示:
配置安全设置。
配置重定向URL。
分别添加重定向URL:https://login.aliyuncsas.com/open-dev/feishu、https://login.aliyuncsas.com/ui/feishuAuth/。
您可以在SASE控制台的身份源管理页面,添加身份源信息时设置企业身份源为飞书,获取重定向 URL信息。
配置IP白名单。
添加协议白名单:仅白名单中的来源请求可以正常调用开放平台 API,不在白名单中的来源请求会被拒绝。
在权限管理页面,配置企业自建应用的如下权限。
手动添加权限:单击开通权限,参考如下列表选择需要开通的应用身份权限和用户身份权限。
权限
说明
contact:contact
更新通讯录
contact:contact.base:readonly
获取通讯录基本信息
contact:department.base:readonly
获取部门基础信息
admin:app.info:readonly
获取应用基本信息
contact:department.hrbp:readonly
查询部门HRBP信息
contact:department.organize:readonly
获取通讯录部门组织架构信息
event:ip_list
获取事件的出口IP
contact:user.base:readonly
获取用户基本信息
contact:user.employee_id:readonly
获取用户userID
contact:user.department:readonly
获取用户组织架构信息
contact:user.email:readonly
获取用户邮箱信息
contact:user.phone:readonly
获取用户手机号
批量导入权限:单击批量导入/导出权限,在导入页签中参考如下内容添加所需权限,并单击下一步,确认新增权限。您也可以在导出页签中对已配置的权限内容进行导出操作。
{ "scopes": { "tenant": [ "admin:app.info:readonly", "contact:department.organize:readonly", "contact:department.base:readonly", "contact:user.email:readonly", "contact:user.phone:readonly", "contact:user.employee_id:readonly", "contact:user.base:readonly", "contact:user.department:readonly", "contact:contact.base:readonly" ], "user": [ "contact:department.organize:readonly", "contact:department.base:readonly", "contact:user.email:readonly", "contact:user.phone:readonly", "contact:user.employee_id:readonly", "contact:user.base:readonly", "contact:user.department:readonly", "contact:contact.base:readonly" ] } }
在事件订阅页面,配置企业自建应用的订阅事件。
设置Encrypt Key、Verification Token、请求网址URL。
您可以在SASE控制台的身份源管理页面,添加身份源信息时设置企业身份源为飞书,获取请求网址URL。
开通如下订阅事件。
包含部门新建、部门被删除、部门信息变化、员工离职、员工信息变化。关于如何配置飞书的事件订阅,请参见事件订阅。
步骤二:发布企业自建应用版本并审核应用
步骤三:建立办公安全平台与飞书数据的连接
配置完飞书数据后,您需要建立SASE与飞书数据的连接。
登录办公安全平台控制台。
在左侧导航栏,选择。
在身份同步页签,单击新增身份源。
在新增身份源面板中,选择飞书,然后单击开始配置,根据配置向导完成相关配置。
在基础配置向导中,参考下表内容进行配置。
配置项
说明
身份源名称
自定义身份源的名称信息。
长度为2~100个字符,支持输入中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。
描述
该配置的描述信息。
该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。
身份源状态
根据需要配置身份源状态。取值:
已开启:创建成功后开启身份源开关。
已关闭:创建成功后关闭身份源开关。
重要关闭身份源开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
App ID
飞书平台自建应用的应用ID。
App Secret
飞书平台自建应用的密码。
配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。
重定向 URL
固定值:https://login.aliyuncsas.com/open-dev/feishu。
该值用于在中配置重定向URL。
自动同步
开启自动同步开关后,系统将自动根据同步模式从飞书同步相关信息。
如果您未开启自动同步,需要手动同步组织架构,具体操作,请参见查看同步记录。
同步员工信息
开启同步员工信息开关后,系统将根据自动同步周期,自动从飞书同步员工信息。
说明若未开启自动同步功能,则不执行同步员工信息功能。
自动同步周期
设置自动同步周期,支持设置每1小时-每24小时自动同步一次。
单击连通性测试,测试成功后,单击下一步。
说明如果提示连接失败,请检查相关信息是否填写错误。
在同步配置向导中,对组织架构的同步范围及字段映射进行配置,然后单击确认。
配置项
说明
组织架构同步
配置同步组织架构的范围。
全部同步:将飞书的组织架构全部同步到SASE系统中。
部分同步:选择需要同步的组织架构。
字段同步映射
配置飞书组织架构字段与SASE同步字段的映射关系。
说明如果SASE系统内置的映射后本地字段无法满足您的业务需求,您可以单击列表右上方的查看扩展字段,在查看扩展字段面板中对扩展字段进行新增、编辑、删除等操作。
步骤四:查看连接是否建立成功
连接建立成功后,您的企业用户便可以使用飞书账号登录SASE。