Secure Access Service Edge (SASE) は、DingTalk の承認ワークフローとシームレスに統合されます。SASE で承認ワークフローを作成する際に、設定済みの DingTalk 承認ワークフローと連携することで、効率的なクロスプラットフォームでのコラボレーションと一元管理が可能になります。このトピックでは、SASE アプリのアンインストール承認ワークフローを例に、DingTalk 承認ワークフローと連携して統合されたプロセス制御を実装する方法について説明します。
背景情報
効率的なクロスプラットフォームでのコラボレーションと一元管理は、運用のセキュリティと効率性にとって極めて重要です。DingTalk は企業向けコラボレーションプラットフォームとして広く利用されており、多くの組織が日常的な管理にその承認ワークフロー機能を利用しています。しかし、SASE アプリのアンインストールに承認を必要とするなど、より複雑なセキュリティシナリオでは、運用のコンプライアンスとデータセキュリティを確保するために、DingTalk の承認ワークフローとのシームレスな統合が必要です。
SASE は DingTalk の承認ワークフローとの緊密な統合を提供しており、SASE 内で既存の DingTalk ワークフローを参照することで、効率的なコラボレーションと一元管理を実現できます。このトピックでは、SASE アプリのアンインストール承認ワークフローの作成を例に、DingTalk 承認ワークフローを使用して統合されたプロセス管理を行う方法を詳しく説明し、よりインテリジェントでセキュアな職場環境の構築を支援します。
前提条件
SASE をアクティベートしていること。SASE をアクティベートしていない場合は、サービスを購入してアクティベートする必要があります。詳細については、「サービスの購入」をご参照ください。7 日間の無料トライアルを申請することもできます。詳細については、「無料トライアルの申請」をご参照ください。
SASE アプリをダウンロードし、インストールしていること。
DingTalk のID ソースを設定し、認証ステータスを有効にしていること。
ユーザーグループを作成し、DingTalk の組織構造を選択していること。
操作手順
ステップ 1:DingTalk アプリケーションと権限の作成
SASE と DingTalk の承認ワークフローをシームレスに統合するには、まず DingTalk でカスタムアプリケーションを作成し、承認権限を設定する必要があります。SASE はこれらの権限を使用して、承認ワークフローの設定にアクセスします。
DingTalk Open Platform にログインします。上部のメニューバーから、[Application Development] を選択します。
左側メニューで [DingTalk Application] を選択し、[Create Application] をクリックします。
[Create Application] パネルで、[Application Name]、[Application Description]、[Application Icon] を設定します。
パラメーター
説明
例
アプリケーション名
(必須)
DingTalk アプリケーションの名前。
SASE-DingTalk 承認アプリ
アプリケーションの説明
(必須)
アプリケーションの説明。
DingTalk 承認ワークフローの作成と SASE との同期に使用します。
アプリケーションアイコン
アプリケーションアイコン。システムはデフォルトのアイコンを提供します。カスタムアイコンを使用する場合は、設計仕様を満たしていることを確認してください。
240×240 ピクセル以上、アスペクト比 1:1、サイズ 2 MB 以内、角丸なしの JPG または PNG ファイルをアップロードします。詳細については、「DingTalk アプリケーションアイコンデザイン仕様」をご参照ください。
デフォルトのアイコンを使用します。
設定が完了したら、[Save] をクリックします。アプリケーションの詳細ページにリダイレクトされます。
アプリケーションの詳細ページの左側メニューで、[Development Configuration] > [Permission Management] の順に選択します。
[Permission Management] ページで、[OA Approval] の権限を設定します。
必要な OA 承認ワークフローの権限は、Approval Flow Data Management、Workflow Instance Write、Workflow Template Write、Workflow Template Read、および Workflow Instance Read です。次の手順で、これらの権限を一括でリクエストできます。
ビジネス要件に基づいて [Permission Scope] を選択します。
左側の権限カテゴリリストで [OA Approval] を選択し、リストの上部にあるチェックボックスを選択します。
リストの右上隅にある [Batch Request] をクリックします。
ステップ 2:DingTalk 承認ワークフローの作成
DingTalk 管理コンソールにログインします。
ページの右下隅にある[Common Applications] セクションで、[Approval] を選択します。
または、左側メニューで [Workbench] > [Application Management] の順に選択します。アプリケーションリストで [OA Approval] を探し、[Actions] 列の [Enter] をクリックして [OA Approval management console] を開きます。
[Create Approval Form] をクリックします。[Create Approval Form] ダイアログボックスで、[Process Form] を選択します。
承認フォームで、設定ウィザードを使用して [Basic settings]、[Form design]、[Process design] を完了します。
[Basic settings]:[Form Name]、[Group]、[Who Can Initiate]、[Form Administrator] を設定します。
システムには組み込みのフォームグループが用意されています。[New Group] をクリックし、グループ名を入力して
をクリックすることもできます。[Form design]:承認フォームの表示フィールドを設定します。これらのフィールドはSASE でマッピングできます。
設定ウィザードで [Form design] をクリックします。
左側のコントロールエリアでフォームコントロールをクリックし、その [Title] と [Placeholder Text] を設定します。
[Process design]:[Initiator]、[Approver]、[Carbon Copy Recipient] を含む承認ワークフローを設定します。
設定ウィザードで [Process design] をクリックします。
ワークフロー内の [Approver] ボックスをクリックします。
[Approver] パネルで、ビジネス要件に基づいて [Approval Type]、[Approver]、[Approval Method] を設定します。その後、[Save] をクリックします。
設定が完了したら、ページの右上隅にある [Publish] をクリックします。
ステップ 3:SASE 承認ワークフローの作成
SASE 承認ワークフローを作成する際、SASE を DingTalk 承認ワークフローとシームレスに統合するために、DingTalk アプリケーションの詳細、イベントサブスクリプション情報、および承認フィールドのマッピングを設定する必要があります。
SASE コンソールにログインします。
左側メニューで、 の順に選択し、Create Workflow をクリックします。
Create Approval Workflow パネルで、次のパラメーターを設定します。
パラメーター
説明
例
[Workflow Name]
承認ワークフローの名前。
SASE アプリアンインストール承認ワークフロー
[Approval Process Type]
承認ワークフローの種類。有効な値:組み込み承認ワークフローと DingTalk 承認ワークフロー。
DingTalk 承認ワークフロー
クライアント ID
DingTalk アプリケーションの ID。
ding**********zrvwc
クライアントシークレット
DingTalk アプリケーションのシークレット。
wRQD7BHcK************AyL1bAJDA
aes_key
DingTalk イベントサブスクリプションの暗号化認証情報。
CzSr3F8************Tc3Zz2
token
DingTalk イベントサブスクリプションの署名。
3hszVY***********aY4K3p9tB4
[Request URL]
DingTalk がイベントサブスクリプションを受信するためのパブリック URL。
重要この URL をコピーし、次の場所にある Request URL フィールドに貼り付ける必要があります:[DingTalk Open Platform] > [Application Development] > [Enterprise internal applications] > [DingTalk Application] > [Development Configuration] > [Event Subscription] > [Request URL]。
https://default-pre-auth-server.cloudsecsase.com//
[Approval Process Configuration]
SASE 承認テンプレートと DingTalk 承認ワークフロー間の関連付けとフィールドマッピングを設定します。
[Workflow Template]:SASE の組み込みワークフローテンプレート。
[Associate DingTalk Process ID]:DingTalk 承認フォームの ID。
[System Fields]:ワークフローテンプレートの組み込みの編集不可能なシステムフィールド。
[Template Fields]:関連付けられた DingTalk ワークフローで設定されたフィールド。
説明1 つのSASE 承認ワークフローは、同じ DingTalk アプリケーションで作成された複数の承認フォームに関連付けることができます。Add をクリックして、異なる承認ワークフローを設定できます。
ワークフローテンプレート:アプリのアンインストールポリシー
関連付ける DingTalk プロセス ID:PROC-EB35CAE7-******-*****19C5833D0C17
システムフィールド:申請理由
テンプレートフィールド:DingTalk 承認の申請理由
OK をクリックします。
ステップ 4:DingTalk イベントサブスクリプションの設定
サブスクライブしたイベントが発生すると、DingTalk はアプリケーションにメッセージをプッシュします。
DingTalk アプリケーションの Event Subscription ページを開きます。
説明これは、ステップ 3 の「aes_key と token の取得」手順と同じページです。
[Request URL] を入力し、[Save] をクリックします。
SASE コンソールにログインできます。左側メニューで、 の順に選択します。対象の承認ワークフローの Actions 列で、Edit をクリックします。Edit Approval Workflow パネルでリクエスト URL を確認できます。
パネルには、[Client Secret]、[aes_key]、[token] フィールド、および [Request URL] が表示されます。URL のパスには
/v1/approval/dingtalk/callback/が含まれます。このリクエスト URL をコピーし、DingTalk Open Platform のアプリケーションの Event Subscription ページの Request URL フィールドに貼り付けます。URL が保存された後、ページ下部の[Approval Events] セクションで、[Approval Instance Started, Ended] サブスクリプションスイッチをオンにします。
[Approval Instance Started, Ended] の下にある [Subscription Settings] をクリックします。
[Subscription Content] ダイアログボックスで、イベントサブスクリプションアドレスを設定します。これにより、サブスクライブされたイベントをきめ細かく制御し、リソース使用量を削減できます。
説明サブスクリプションイベントの処理には月間クォータが適用されます。DingTalk Open Platform のホームページで[Webhook and Stream] の使用状況を確認できます。
[Add] をクリックします。[Subscription Address] フィールドに、サブスクライブしたいイベントのアドレスを入力します。
フォーマット:/v1.0/event/bpms_instance_change/processCode/{processCode}/type/{type}。例:/v1.0/event/bpms_instance_change/processCode/PROC-XXXXX/type/*。
[OK] をクリックします。
ステップ 5:アンインストール防止ポリシーの設定
SASE コンソールにログインします。
左側メニューで、 の順に選択します。
Uninstallation Approval タブで、Anti-uninstallation Policy をクリックします。
Client Anti-uninstallation Policy パネルで、次のパラメーターを設定し、OK をクリックします。
パラメーター
説明
例
[Client Configuration Switch]
Client Anti-uninstallation と Client Auto-start and Anti-logoff を有効にできます。
Client Anti-uninstallation を有効にします。
[Effective Scope]
アンインストール防止ポリシーが適用されるユーザーグループ。
DingTalk ユーザーグループ
[Whitelist]
ホワイトリスト内のユーザーは、アンインストール防止ポリシーの制限を受けずにSASE クライアントをアンインストールできます。
田中部長
[Approval Process Configuration]
従業員が承認を申請できるかどうかを指定し、承認ワークフローを選択します。
申請ワークフロー:従業員が承認を申請できるようにする
ワークフローの選択:作成した承認ワークフローを選択します。
警告ワークフロー管理で作成され、DingTalk システムに関連付けられている承認ワークフローを選択する必要があります。
[Prompt Display Configuration]
有効範囲内のユーザーがSASE アプリをアンインストールしようとすると、システムはポップアッププロンプトを表示します。ポップアップのタイトル、コンテンツ、ボタンのテキストを設定できます。中国語と英語の両方がサポートされています。
タイトル:SASE がアンインストールされようとしています
コンテンツ:アンインストール後、このデバイスは企業業務に使用できなくなり、イントラネットアクセスも失われます!
プライマリボタン:承認を申請
セカンダリボタン:わかりました
ステップ 6:統合の検証
DingTalk の ID ソースを使用してSASE アプリにログインします。
SASE アプリをアンインストールしようとします。
アンインストール防止のポップアッププロンプトで、[承認を申請] をクリックします。
[セキュリティソフトウェアのアンインストールは禁止されています] ページで、理由を入力し、[申請を開始] をクリックします。
承認者は DingTalk アプリケーションで OA 承認リクエストを表示し、処理できます。
管理者は、SASE コンソールの で承認リクエストを表示し、処理できます。
説明承認結果にかかわらず、承認ステータスは DingTalk クライアントに同期されます。
承認されると、再度SASE アプリをアンインストールできます。