文档

对接钉钉身份源

更新时间:

SASE以身份驱动下发安全策略,如果企业已使用钉钉身份源管理组织架构,可以通过SASE对接企业的钉钉源,无需您再次为企业员工创建身份信息。对接企业钉钉身份源后,企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接钉钉身份源。

使用限制

身份源功能仅支持在同一时段开启一个身份源(一个单身份源或者一个多身份源)。如果当前存在已启用的身份源,您需要先禁用已启用的身份源,然后再启用您需要的身份源。

配置并开启钉钉单身份源

  1. 登录办公安全平台控制台。在左侧导航栏,选择身份认证管理 > 身份接入

  2. 身份接入页面选择身份源管理页签,单击添加身份源,在单身份源钉钉页签,设置钉钉身份源,然后单击连接测试

    配置项

    说明

    配置名称

    钉钉的名称信息。

    长度为2~100个字符,包括中文字符、英文字母、阿拉伯数字、短划线(-)和下划线(_)。

    描述

    该配置的描述信息。

    该描述会作为登录标题显示在SASE客户端,方便您登录时知晓身份源信息。

    钉钉配置

    • CorpId:企业在钉钉中的标识,每个企业拥有唯一的CorpId。

      钉钉开放平台上首页获取CorpID。

    • AppKey:钉钉开放平台中创建应用的AppKey。

      钉钉开放平台上目标应用的基础信息页面获取AppKey。

    • AppSecret:钉钉开放平台中创建应用的AppSecret。

      钉钉开放平台上目标应用的基础信息页面获取AppSecret。

    高级配置

    钉钉类型:选择标准钉或者专属钉

    组织架构同步:选择全部部门或者部分部门

    说明

    如果选择部分部门,需要设置部门的ID。支持添加多个部门。

    事件订阅:配置事件订阅后,企业员工的组织架构会同步至SASE,实现企业员工的组织架构调整或离职场景下SASE安全策略的时效性。

    • 加密aes_key

      钉钉开放平台上目标应用的事件与订阅页面获取加密aes_key。

    • 加密token

      钉钉开放平台上目标应用的事件与订阅页面获取加密token。

    • 请求网址:该值用于在钉钉开放平台设置订阅管理。

      订阅的事件:通讯录用户增加通讯录用户更改通讯录用户离职通讯录企业部门创建通讯录企业部门修改通讯录企业部门删除

    应用首页地址

    固定值:https://login.aliyuncsas.com/ui/dingAuth/

    该值用于在钉钉开放平台设置应用首页地址。

    回调域名

    固定值:https://login.aliyuncsas.com/open-dev/dingtalk

    该值用于在钉钉开放平台设置回调域名。

    身份源配置状态

    根据需要设置配置状态。取值:

    • 已启用:如果当前没有启用其他身份源,您可以直接开启创建的身份源。

    • 已禁用:如果当前存在已启用其他身份源,您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后,再开启新创建的身份源。

      重要

      关闭身份源配置状态开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

    说明

    如果提示连接失败,请检查服务器地址和服务器端口等信息是否填写错误。

  3. 连接成功后,单击确定

关闭钉钉身份源

身份源管理页面,定位到已添加的钉钉身份源,在状态列关闭身份源的状态开关。

查看钉钉身份源

身份源管理页面,定位到已添加的钉钉身份源,单击操作列的详情即可查看配置的钉钉信息。

删除钉钉身份源

身份源管理页面,定位到已添加的钉钉身份源,单击操作列的删除即可删除该钉钉信息。

编辑钉钉身份源

身份源管理页面,定位到已添加的钉钉身份源,单击操作列的编辑即可修改该钉钉信息。

相关文档

最佳实践

通过办公安全平台保障钉钉用户安全访问

配置SASE身份源

如果企业未使用任何身份源,可以使用SASE提供的自定义身份源上建立组织架构。具体信息,请参见配置SASE身份源

对接第三方身份源

如果企业已使用LDAP、钉钉、企业微信、飞书、IDaaS身份源的某一种身份源管理企业组织架构,可以通过SASE接入身份源信息。

配置多身份源

如果企业需要使用多种身份源来管理企业组织架构,可以通过SASE配置多个身份源信息。具体信息,请参见配置多种身份源

配置用户组

如果您需要在企业组织架构以外创建用户组,请参见配置用户组