All Products
Search

This Product

    Secure Access Service Edge:Gunakan SASE untuk memastikan akses aman bagi pengguna DingTalk

    Document Center

    Secure Access Service Edge:Gunakan SASE untuk memastikan akses aman bagi pengguna DingTalk

    Last Updated:Oct 29, 2025

    Sambungkan Secure Access Service Edge (SASE) ke DingTalk. Ini memungkinkan pengguna perusahaan Anda masuk ke klien SASE menggunakan akun DingTalk mereka. Anda dapat mengelola izin akses di SASE untuk melindungi data perusahaan. Topik ini menjelaskan cara menyambungkan SASE ke DingTalk.

    Skenario

    SASE membantu Anda mengelola izin akses pribadi dan Internet untuk karyawan serta melindungi data perusahaan. Jika Anda menggunakan DingTalk untuk mengelola informasi pengguna perusahaan, Anda dapat menyambungkan SASE ke DingTalk. Koneksi ini memungkinkan pengguna masuk ke klien SASE dengan akun DingTalk mereka tanpa memerlukan sistem manajemen identitas terpisah untuk SASE, sehingga mengurangi biaya pemeliharaan informasi pengguna.

    Prosedur

    Prasyarat

    Aktifkan Secure Access Service Edge dan instal klien SASE.

    Penting

    Operasi DingTalk dalam topik ini dilakukan di konsol DingTalk baru. Informasi tentang Platform Terbuka DingTalk hanya untuk referensi. Untuk informasi lebih lanjut, lihat dokumentasi resmi DingTalk.

    Langkah 1: Buat aplikasi DingTalk dan tambahkan URL halaman utama aplikasi

    1.1 Buat aplikasi DingTalk

    Untuk menyinkronkan data DingTalk ke SASE, buat aplikasi DingTalk di Platform Terbuka DingTalk.

    Catatan

    • Webhook Robot DingTalk mulai dikomersialkan secara bertahap pada 1 Januari 2024 dan sepenuhnya dikomersialkan pada 1 Februari 2024. Kuota gratis adalah 5.000 panggilan per bulan kalender. Untuk informasi lebih lanjut, lihat Pengumuman Komersialisasi Webhook.

    • Di pasar DingTalk, Anda dapat mengaktifkan miniapp Alibaba Cloud untuk menerima notifikasi peringatan dari DingTalk secara gratis. Klik Aktifkan Sekarang.

    1. Gunakan akun administrator untuk masuk ke Platform Terbuka DingTalk. Di bilah menu atas, klik Application Development.

    2. Di panel navigasi, pilih Internal-facing Applications > DingTalk Application.

    3. Di halaman DingTalk Application, klik Create Application.

    4. Di kotak dialog Create Internal-facing Application, atur parameter sesuai tabel berikut.

      Parameter

      Deskripsi

      Contoh

      Application Name

      Nama aplikasi.

      Nama dapat berisi karakter Cina, huruf besar, huruf kecil, dan angka.

      AlibabaCloudSASE

      Application Description

      Deskripsi aplikasi.

      AlibabaCloudSASE

      Application Icon

      Ikon aplikasi.

      Gambar harus dalam format JPG atau PNG, 240 × 240 piksel atau lebih besar, memiliki rasio aspek 1:1, tidak lebih besar dari 120 KB, dan tanpa radius sudut.

      图标

    5. Klik Create.

    1.2 Konfigurasikan URL halaman utama

    Tambahkan URL halaman utama untuk aplikasi AlibabaCloudSASE yang telah dibuat.

    1. Di halaman DingTalk Application, klik aplikasi AlibabaCloudSASE yang telah dibuat.

    2. Di panel navigasi, pilih Application Capabilities > Web App.

    3. Di halaman Web App, atur Application Homepage URL menjadi https://login.aliyuncsas.com/ui/dingAuth/, lalu klik Save.

    Langkah 2: Tambahkan izin API, pengaturan keamanan, dan pengaturan berbagi

    2.1 Tambahkan izin API

    Tambahkan izin API untuk menyinkronkan struktur organisasi DingTalk.

    1. Gunakan akun administrator untuk masuk ke Platform Terbuka DingTalk. Di bilah menu atas, klik Application Development.

    2. Di panel navigasi, pilih Internal-facing Applications > DingTalk Application.

    3. Di halaman DingTalk Application, klik aplikasi AlibabaCloudSASE yang telah dibuat.

    4. Di panel navigasi, klik Permission Management.

    5. Di halaman Permission Management, atur ruang lingkup izin dan aktifkan izin berikut.

      Atur ruang lingkup izin ke All Employees.

      • Personal Mobile Number Information

      • Read Permission For Personal Information In The Address Book

      • Enterprise Employee Mobile Number Information

      • Email And Other Personal Information

      • Read Permission For Department Information In The Address Book

      • Read Permission For Member Information

      • Read Permission For Department Members In The Address Book

    2.2 Konfigurasikan pengaturan keamanan

    Setelah mengonfigurasi nama domain callback, karyawan dapat masuk ke klien SASE menggunakan kredensial DingTalk atau dengan memindai kode QR menggunakan perangkat seluler.

    1. Di panel navigasi, pilih Development Configuration > Security Settings.

    2. Di halaman Security Settings, di bidang Server Egress IP, masukkan alamat IP server yang memanggil API sisi server DingTalk.

    3. Atur Redirection URL (Callback Domain) menjadi https://login.aliyuncsas.com/open-dev/dingtalk, lalu klik Save.

    4. Di panel navigasi, pilih Development Configuration > Sharing Settings.

    5. Di halaman Sharing Settings, di bagian Login Integration, tambahkan https://login.aliyuncsas.com/open-dev/dingtalk sebagai nama domain callback.

    2.3 Konfigurasikan pengaturan berbagi

    Konfigurasikan pengaturan berbagi sesuai kebutuhan. Ini memungkinkan pengguna berbagi konten dengan cepat setelah masuk, memfasilitasi kolaborasi dan berbagi informasi dalam perusahaan.

    Di halaman Sharing Settings, di bagian Share Integration, klik Edit. Konfigurasikan parameter untuk iOS Share dan Android Share seperti yang dijelaskan dalam tabel berikut, lalu klik Save.

    Kategori

    Parameter

    Nilai

    IOS Share

    iOS Bundle ID

    com.aliyun.security.saseiosApp

    Android Share

    Android Package Name

    com.aliyun.security.sase

    Android Signature

    294e7d6880381b01ea56d91ee6656ff0

    Langkah 3: Hubungkan SASE ke data DingTalk

    Setelah mengonfigurasi pengaturan di DingTalk, buat koneksi ke data DingTalk di pengaturan sumber identitas SASE.

    1. Masuk ke Konsol SASE.

    2. Di panel navigasi, pilih Identity Authentication > Identity Access.

    3. Di tab Identity synchronization, klik Create IdP.

    4. Di panel Create IdP, pilih DingTalk, lalu klik Configure. Selesaikan konfigurasi dengan mengikuti panduan.

    5. Di langkah Basic Configurations, atur parameter sesuai tabel berikut.

      Parameter

      Deskripsi

      Contoh

      IdP Name

      Nama sumber identitas DingTalk.

      Nama harus berisi 2 hingga 100 karakter dan dapat berisi karakter Cina, huruf, angka, tanda hubung (-), dan garis bawah (_).

      test

      Description

      Deskripsi konfigurasi.

      Deskripsi ditampilkan sebagai judul masuk di antarmuka klien SASE untuk memberikan informasi tentang sumber identitas saat masuk.

      Masuk DingTalk

      IdP Status

      Konfigurasikan status sumber identitas sesuai kebutuhan. Nilai valid adalah:

      • Enabled: Sumber identitas diaktifkan setelah dibuat.

      • Closed: Sumber identitas dinonaktifkan setelah dibuat.

        Penting

        Jika Anda menonaktifkan sumber identitas, pengguna akhir tidak dapat menggunakan aplikasi SASE untuk mengakses aplikasi internal. Lanjutkan dengan hati-hati.

      Diaktifkan

      CorpId

      ID perusahaan di DingTalk. Setiap perusahaan memiliki CorpId unik. Dapatkan CorpId dari halaman utama Platform Terbuka DingTalk.

      ding3608be7c4e5266ce4ac5d6980864****

      AppKey

      AppKey aplikasi yang dibuat di Platform Terbuka DingTalk. Dapatkan AppKey dari halaman Credentials And Basic Information aplikasitarget di Platform Terbuka DingTalk.

      dingwjlht8b93ara****

      AppSecret

      AppSecret aplikasi yang dibuat di Platform Terbuka DingTalk. Dapatkan AppSecret dari halaman Credentials And Basic Information aplikasi target di Platform Terbuka DingTalk.

      1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****

      Advanced Settings

      DingTalk Type: Pilih DingTalk Standard atau Dedicated DingTalk.

      Event Subscription: Setelah Anda mengonfigurasi langganan event, struktur organisasi karyawan disinkronkan ke SASE. Ini memastikan bahwa kebijakan keamanan SASE diperbarui dengan cepat saat struktur organisasi diubah atau seorang karyawan mengundurkan diri.

      • Kunci enkripsi aes_key: SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM******

      • Token enkripsi: YYwR3A3rV6mrvpC******

      Automatic Synchronization

      Jika Anda mengaktifkan Automatic Synchronization, sistem secara otomatis menyinkronkan informasi dari DingTalk berdasarkan mode sinkronisasi.

      Jika Anda tidak mengaktifkan Automatic Synchronization, Anda harus menyinkronkan struktur organisasi secara manual. Untuk informasi lebih lanjut, lihat Lihat catatan sinkronisasi.

      Diaktifkan

      Synchronize User Information

      Jika Anda mengaktifkan Synchronize User Information, sistem secara otomatis menyinkronkan informasi karyawan dari DingTalk berdasarkan Automatic Synchronization Cycle.

      Catatan

      Jika Automatic Synchronization dinonaktifkan, fitur Synchronize User Information tidak akan berjalan.

      Diaktifkan

      Automatic Synchronization Cycle

      Atur Automatic Synchronization Cycle. Anda dapat mengatur interval dari 1 jam hingga 24 jam.

      24 jam

      Panel ini menyediakan tautan konfigurasi yang diperlukan. Anda dapat mengklik tautan untuk menyalinnya.

    6. Klik Connectivity Test. Setelah tes berhasil, klik Next.

      Catatan

      Jika pesan Connection Failed ditampilkan, verifikasi bahwa alamat server dan port server benar.

    7. Di langkah Synchronization Settings, konfigurasikan ruang lingkup sinkronisasi untuk struktur organisasi dan pemetaan bidang. Lalu, klik Confirm.

      Parameter

      Deskripsi

      Organizational Structure Synchronization

      Konfigurasikan ruang lingkup sinkronisasi untuk struktur organisasi.

      • Synchronize All: Menyinkronkan seluruh struktur organisasi DingTalk ke sistem SASE.

      • Partially Synchronize: Pilih struktur organisasi yang ingin disinkronkan.

      Field Synchronization Mapping

      Konfigurasikan pemetaan antara bidang struktur organisasi DingTalk dan bidang sinkronisasi SASE.

      Catatan

      Jika Local Field After Mapping bawaan di sistem SASE tidak memenuhi persyaratan bisnis Anda, klik View Extended Fields di sudut kanan atas daftar. Di panel View Extended Fields, Anda dapat menambah, mengedit, atau menghapus bidang ekstensi.

    Langkah 4: Konfigurasikan langganan event DingTalk

    Konfigurasikan langganan event DingTalk untuk memastikan aplikasi dapat menerima notifikasi event secara real-time.

    1. Gunakan akun administrator untuk masuk ke Platform Terbuka DingTalk. Di bilah menu atas, klik Application Development.

    2. Di panel navigasi, pilih Internal-facing Applications > DingTalk Application.

    3. Di halaman DingTalk Application, klik aplikasi AlibabaCloudSASE yang telah dibuat.

    4. Konfigurasikan langganan event.

      1. Di panel navigasi, klik Event Subscription. Atur Push Method menjadi HTTP Push. Masukkan Encryption Aes_key, Signature Token, dan Request URL. Untuk mengonfigurasi parameter ini, ikuti langkah-langkah berikut:

        1. Di Konsol Secure Access Service Edge, temukan IdP yang Anda buat di Langkah 3. Di panel Edit Identity Source, salin nilai parameter Request Address. Lalu, tempelkan ke bidang Request URL di bagian Event Subscription aplikasi Platform Terbuka DingTalk.

        2. Salin Encrypt Aes_key dan Signature Token dari halaman Event Subscription aplikasi Platform Terbuka DingTalk. Tempelkan ke bidang Encrypt Aes_key dan Encryption Token yang sesuai di panel Edit Identity Source Konsol SASE. Untuk informasi lebih lanjut, lihat tangkapan layar berikut.

        3. Setelah menyelesaikan konfigurasi, klik Save baik di panel sumber identitas maupun di halaman langganan event.

      2. Di halaman Langganan Event, pilih event buku alamat yang ingin diaktifkan.

        Event ini mencakup User Added To Address Book, User In Address Book Changed, User Removed From Address Book, Department Created In Address Book, Department In Address Book Modified, dan Department In Address Book Deleted. Untuk informasi lebih lanjut tentang cara mengonfigurasi langganan event DingTalk, lihat Langganan Event.

    Langkah 5: Verifikasi koneksi

    1. Buka klien SASE yang telah diinstal.

    2. Masukkan ID verifikasi perusahaan dan klik Confirm.

      Masuk ke Konsol Secure Access Service Edge. Di panel navigasi di sebelah kiri, buka halaman Settings untuk mendapatkan Enterprise Authentication Identifier.

    3. Masukkan nama pengguna dan kata sandi DingTalk Anda dan klik Log On, atau pindai kode QR untuk masuk.

      Masuk yang berhasil menunjukkan bahwa koneksi telah terjalin.