Alur persetujuan memungkinkan administrator perusahaan mengontrol kebijakan SASE yang berlaku dengan mewajibkan peninjau yang ditunjuk untuk meninjau dan memberikan otorisasi terhadap permintaan sebelum diterapkan. Saat perubahan kebijakan diajukan, peninjau yang ditunjuk menerima notifikasi dan dapat menyetujui atau menolak permintaan tersebut melalui Konsol SASE, DingTalk, atau WeCom. SASE mendukung tiga jenis alur persetujuan: alur bawaan yang dikelola sepenuhnya dalam konsol, serta alur yang terintegrasi dengan DingTalk atau WeCom sehingga peninjau dapat bertindak langsung dari alat yang sudah mereka gunakan.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Akses ke Konsol Secure Access Service Edge
(Untuk integrasi DingTalk) Aplikasi DingTalk dengan kredensial Client ID, Client Secret, aes_key, dan token yang siap digunakan
(Untuk integrasi WeCom) Otorisasi administrator telah diselesaikan melalui pemindaian kode QR WeCom, dan layanan pelanggan Alibaba Cloud telah menyelesaikan konfigurasi backend
Buat alur persetujuan
Masuk ke Konsol Secure Access Service Edge.
Pada panel navigasi di sebelah kiri, pilih Terminal Protection > Security Alerts.
Pada halaman Workflow Management, klik Create Workflow.
Pada panel Create Approval Workflow, masukkan Workflow Name. Nama harus terdiri dari 1 hingga 128 karakter dan dapat mencakup karakter Tionghoa, huruf, angka, tanda hubung (-), serta garis bawah (_).
Di bawah Approval Process Type, pilih jenis alur persetujuan dan konfigurasikan parameter sesuai jenis tersebut. Lihat bagian berikut untuk parameter spesifik tiap jenis.
Type Description Built-in Approval Process Dikelola sepenuhnya dalam SASE. Cocok untuk kebijakan layanan SASE standar. DingTalk Approval Process Mengarahkan permintaan persetujuan melalui aplikasi DingTalk Anda. WeCom Approval Process Mengarahkan permintaan persetujuan melalui aplikasi WeCom Anda. Memerlukan konfigurasi backend oleh layanan pelanggan Alibaba Cloud sebelum dapat digunakan. Klik OK.
Built-in approval flow
| Parameter | Description |
|---|---|
| Approval Workflow | Tentukan alur peninjau. Tambahkan minimal satu tingkat peninjau, hingga lima tingkat. Untuk tingkat pertama, tambahkan hingga lima peninjau — jika salah satu peninjau tingkat pertama menyetujui permintaan, alur dianggap disetujui; jika salah satu peninjau menolak permintaan, alur ditolak. |
| Application Review | Pilih satu atau beberapa templat alur untuk dikaitkan dengan alur persetujuan ini. Jika tidak ada templat yang dipilih, kebijakan terkait tidak dapat dikaitkan dengan alur ini. |
Templat alur berikut tersedia untuk Application Review:
| Template | Associated policy location |
|---|---|
| Domain Name Whitelist Template | Internet Access > Behavior Management (kebijakan daftar putih) |
| Domain Name Blacklist Template | Internet Access > Behavior Management (kebijakan blacklist) |
| Software Disabling Template | Software Management > Software Blacklist (kebijakan penonaktifan) |
| File Exfiltration Template | Data Loss Prevention > Detection Policies (kebijakan deteksi eksfiltrasi file) |
| App Uninstall Policy Template | Terminal Management > Uninstall Approval (kebijakan pendaftaran) |
| Peripheral Control Template | Data Loss Prevention > Peripheral Management (kebijakan deteksi) |
DingTalk approval flow
| Parameter | Description |
|---|---|
| Client ID | ID aplikasi DingTalk Anda. Lihat Dapatkan Client ID dan Client Secret. |
| Client Secret | Rahasia aplikasi DingTalk Anda. Lihat Dapatkan Client ID dan Client Secret. |
| aes_key | Kredensial enkripsi untuk langganan event DingTalk. Lihat Dapatkan aes_key dan token. |
| token | Signature untuk langganan event DingTalk. Lihat Dapatkan aes_key dan token. |
| Request URL | URL publik tempat DingTalk mendorong callback langganan event. Salin URL ini ke bidang Request URL pada DingTalk Open Platform di bawah Application Development > Internal Corporate Apps > DingTalk Apps > Development Configuration > Event Subscriptions. |
| Approval Process Configuration | Memetakan templat alur SASE ke alur persetujuan DingTalk. Konfigurasikan Workflow Template, Associate DingTalk Process ID, System Fields, dan Template Fields untuk setiap pemetaan. Klik Add untuk mengonfigurasi alur persetujuan tambahan dalam aplikasi DingTalk yang sama. |
Satu alur persetujuan SASE dapat dikaitkan dengan beberapa formulir persetujuan yang dibuat dalam aplikasi DingTalk yang sama.
Dapatkan Client ID dan Client Secret
Masuk ke DingTalk Open Platform. Pada bilah menu atas, pilih Application Development.
Pada panel navigasi di sebelah kiri, pilih DingTalk Apps. Klik nama aplikasi yang telah Anda buat untuk membuka halaman detailnya.
Pada panel navigasi di sebelah kiri, pilih Credentials And Basic Information. Pada halaman App Credentials, salin Client ID dan Client Secret.
Dapatkan aes_key dan token
Masuk ke DingTalk Open Platform. Pada bilah menu atas, pilih Application Development.
Pada panel navigasi di sebelah kiri, pilih DingTalk Apps. Klik nama aplikasi yang telah Anda buat untuk membuka halaman detailnya.
Pada panel navigasi di sebelah kiri, pilih Event Subscriptions.
Pada halaman Event Subscriptions, atur Push Method menjadi HTTP Push, lalu klik tombol reset untuk menghasilkan Encryption Aes_key dan Signature Token.
Setelah memperoleh Encryption Aes_key dan Signature Token, jangan meresetnya lagi. Jangan tutup atau refresh halaman ini—Anda masih perlu mengonfigurasi Request URL.
Konfigurasikan Approval Process Configuration
Di bawah Approval Process Configuration, atur bidang-bidang berikut untuk setiap pemetaan:
| Field | Description |
|---|---|
| Workflow Template | Templat alur SASE bawaan yang akan dikaitkan. |
| Associate DingTalk Process ID | ID formulir alur persetujuan DingTalk. Lihat Lihat ID formulir alur persetujuan DingTalk. |
| System Fields | Bidang sistem bawaan dari templat alur SASE. Bidang ini tidak dapat diedit. |
| Template Fields | Bidang yang dikonfigurasi dalam alur DingTalk terkait. |
Lihat ID formulir alur persetujuan DingTalk
Masuk ke Konsol admin DingTalk.
Pada bagian Common Applications, pilih Approval. Atau, buka Workbench > Application Management, temukan OA Approval dalam daftar, lalu klik Enter untuk membuka halaman OA Approval Back-end Management.
Pada panel navigasi di sebelah kiri, pilih Form Management.
Dalam daftar Form Management, temukan ID formulir alur persetujuan tersebut.
WeCom approval flow
Setelah memilih alur persetujuan WeCom, administrator harus menggunakan klien WeCom untuk memindai kode QR guna memberikan otorisasi, lalu menghubungi layanan pelanggan Alibaba Cloud untuk menyelesaikan konfigurasi backend. Konfigurasi hanya tersedia setelah pengaturan backend selesai.
| Parameter | Description |
|---|---|
| Approval Template Mapping | Petakan templat alur SASE bawaan ke templat persetujuan WeCom dan masukkan ID alur yang sesuai. |
| Field ID Mapping | Petakan bidang sistem dari templat alur SASE ke bidang dalam templat persetujuan WeCom. |
Operasi lainnya
| Operation | Steps |
|---|---|
| Copy a flow | Pada kolom Actions, klik Copy untuk mengkloning alur persetujuan yang ada. Hanya alur persetujuan bawaan yang dapat disalin. Alur DingTalk dan WeCom tidak mendukung operasi ini. |
| Edit a flow | Pada kolom Actions, klik Edit untuk mengubah alur persetujuan. |
| Delete a flow | Pada kolom Actions, klik Delete. Sebelum menghapus, putuskan kaitan alur dari semua kebijakan — alur tidak dapat dihapus selama masih dikaitkan dengan kebijakan. |
Batasan
Copy hanya didukung untuk alur persetujuan bawaan. Alur persetujuan DingTalk dan WeCom tidak dapat disalin.
Alur persetujuan tidak dapat dihapus selama masih dikaitkan dengan kebijakan. Putuskan kaitan alur dari semua kebijakan sebelum menghapusnya.
Alur persetujuan WeCom memerlukan konfigurasi backend oleh layanan pelanggan Alibaba Cloud sebelum dapat digunakan. Sediakan waktu tambahan untuk penyiapan saat merencanakan integrasi WeCom.
Langkah berikutnya
Untuk melihat statistik semua alur dalam organisasi Anda, lihat Lihat statistik instans alur.
Untuk menerapkan templat alur bawaan pada kebijakan perangkat periferal, lihat Jamin keamanan data dengan mengelola perangkat periferal.
Untuk panduan lengkap menghubungkan alur persetujuan DingTalk, lihat Praktik terbaik mengintegrasikan alur persetujuan DingTalk.