すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:IDaaS を使用して DingTalk データを SASE に同期する

    ドキュメントセンター

    Secure Access Service Edge:IDaaS を使用して DingTalk データを SASE に同期する

    最終更新日:Jan 11, 2025

    Alibaba Cloud Identity as a Service (IDaaS) を使用して、DingTalk データを Secure Access Service Edge (SASE) に同期できます。この方法で、SASE コンソールで DingTalk ユーザーのアクセス権限を管理できます。このトピックでは、IDaaS を使用して DingTalk データを SASE に同期する方法について説明します。

    前提条件

    プロセス

    SASE を使用して DingTalk ユーザーのアクセス権限を管理する前に、DingTalk データを IDaaS に同期し、IDaaS アイデンティティプロバイダー (IdP) を SASE に接続する必要があります。

    重要

    このトピックの DingTalk 関連の操作は、新バージョンの DingTalk コンソールで実行されます。

    ステップ 1:DingTalk アプリケーションを作成する

    DingTalk データを SASE に同期するには、DingTalk オープン プラットフォームで DingTalk アプリケーションを作成する必要があります。 DingTalk アプリケーションを作成すると、ログオン不要認証に使用される [appkey] パラメーターと [AppSecret] パラメーターの値を取得できます。

    1. 管理者アカウントを使用して、DingTalk オープン プラットフォーム にログオンします。

    2. 上部のナビゲーションバーで、[アプリケーション開発] をクリックします。

    3. 左側のナビゲーションペインで、[dingtalk アプリケーション] をクリックします。表示されるページで、[アプリケーションを作成] をクリックします。

    4. [アプリケーションを作成] パネルで、パラメーターを設定します。次の表にパラメーターを示します。

      パラメーター

      説明

      アプリケーション名

      アプリケーションの名前。

      アプリケーション名には、文字と数字を含めることができます。

      AlibabaCloudSASE

      アプリケーションの説明

      アプリケーションの説明。

      AlibabaCloudSASE

      アプリ アイコン

      アプリケーションのアイコン。

      アップロードされたアイコン画像は、次の要件を満たしている必要があります。JPG または PNG 形式、240 × 240 ピクセル以上、1:1 のアスペクト比、サイズが 2 MB 以下、角が丸くないこと。

      图标

    5. [保存] をクリックします。

    ステップ 2:認証ソースを追加する

    外部認証を有効にするには、認証ソースを追加する必要があります。この方法で、DingTalk アカウントを使用して SASE クライアントにログオンできます。

    1. 管理者アカウントを使用して IDaaS コンソール にログオンします。[EIAM] > [レガシーバージョン] タブで、作成したインスタンスの ID をクリックします。

    2. 左側のナビゲーションペインで、[認証] > [認証ソース] を選択します。

    3. [認証ソース] ページの右上隅にある [dingtalk ソースを追加] をクリックします。

    4. 表示されるページで、[ddtalk マイクロアプリ] を見つけ、[アクション] 列の [認証ソースを追加] をクリックします。

    5. [認証ソースを追加 (ddtalk マイクロアプリ)] パネルで、パラメーターを設定し、[送信] をクリックします。次の表にパラメーターを示します。

      パラメーター

      説明

      名前

      認証ソースの名前。デフォルト値の [ddtalk マイクロアプリ] を保持します。

      DDTalk micro APP

      AgentID

      DingTalk オープン プラットフォーム で作成した DingTalk アプリケーションの [資格情報と基本情報] ページから AgentID パラメーターの値を取得できます。

      320543****

      CorpID

      DingTalk オープン プラットフォーム のフロントページから CorpID パラメーターの値を取得できます。

      ding191d0eb30a8aadf2ee0f45d8e4f7****

      AppKey

      DingTalk オープン プラットフォーム で作成した DingTalk アプリケーションの [資格情報と基本情報] ページから AppKey パラメーターの値を取得できます。

      ding191d0eb30a8aadf2ee0f45d8e4f7****

      AppSecret

      DingTalk オープン プラットフォーム で作成した DingTalk アプリケーションの [資格情報と基本情報] ページから AppSecret パラメーターの値を取得できます。

      7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****

    6. 認証ソースを追加した後、[認証ソース] ページに戻り、[ステータス] 列のスイッチをオンにして [ddtalk マイクロアプリ] を有効にします。

    ステップ 3:DingTalk アプリケーションを設定してリリースする

    認証ソースを追加して有効にした後、次の操作を実行して DingTalk アプリケーションを設定してリリースする必要があります。

    1. 管理者アカウントを使用して DingTalk オープン プラットフォーム にログオンします。

    2. 上部のナビゲーションバーで、[アプリケーション開発] をクリックします。

    3. 左側のナビゲーションペインで、[dingtalk アプリケーション] をクリックします。

    4. [dingtalk アプリケーション] ページで、作成した [alibabacloudsase] アプリケーションをクリックします。

    5. 左側のナビゲーションペインで、[開発設定] > [セキュリティ設定] を選択します。

    6. [セキュリティ設定] ページで、[サーバー送信 IP] パラメーターと [端末内フリーアドレス] パラメーターを設定します。

      説明

      • IDaaS サービスチームに連絡して、IDaaS サーバーの送信 IP アドレスを取得できます。

      • IDaaS コンソール の追加された認証ソースの [認証ソースの詳細] パネルから、アプリケーションのホームページ URL を取得できます。

        たとえば、ホームページ URL は https://aliyundoc.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id} となります。ここで、[agentid] は DingTalk アプリケーションの [agentid] を示し、[appid] は IDaaS で作成された Security Assertion Markup Language (SAML) アプリケーションの ID を示します。詳細については、「ステップ 2:SAML アプリケーションを作成し、アプリケーションにアクセスするための権限を付与する」をご参照ください。

    7. [バージョン管理とリリース] ページで、対応するボタンをクリックしてアプリケーションをリリースします。

    ステップ 4:DingTalk データを同期する

    DingTalk アプリケーションがリリースされたら、次の操作を実行して DingTalk データを同期する必要があります。

    1. 管理者アカウントを使用して IDaaS コンソール にログオンします。[EIAM] > [レガシーバージョン] タブで、作成したインスタンスの ID をクリックします。

    2. DingTalk データを同期します。

      1. 左側のナビゲーションペインで、[ユーザー] > [組織とグループ] を選択します。

      2. [OU とグループ] ページで、[dingtalk を設定] をクリックします。

      3. [ddtalk 同期設定] パネルで、[作成] をクリックします。

      4. パラメーターを設定し、[保存] をクリックします。次の表にパラメーターを示します。

        パラメーター

        説明

        ConfigName

        DingTalk 同期設定の名前を指定します。名前には、文字と数字を含めることができます。

        SASEtest

        corpld

        DingTalk オープン プラットフォーム のフロントページから corpld パラメーターの値を取得できます。

        ding191d0eb30a8aadf2ee0f45d8e4f7****

        appKey

        DingTalk オープン プラットフォーム で作成した DingTalk アプリケーションの [資格情報と基本情報] ページから appKey パラメーターの値を取得できます。

        ding191d0eb30a8aadf2ee0f45d8e4f7****

        appSecret

        DingTalk オープン プラットフォーム で作成した DingTalk アプリケーションの [資格情報と基本情報] ページから appSecret パラメーターの値を取得できます。

        7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****

        有効にする

        スイッチをオンにする必要があります。そうしないと、DingTalk データを同期できません。

        有効

        EmailField

        プライマリ メールアドレスの識別子フィールドを指定します。

        email

        デフォルトパスワード

        IDaaS コンソールにログオンするために使用されるデフォルトパスワードを指定します。

        重要

        現在のパスワードポリシーの要件を満たすパスワードを指定する必要があります。そうしないと、DingTalk データを同期できません。

        ****

      5. [OU とグループ] ページで、[インポート] > [ddtalk 同期] > [OU] を選択します。

      6. 表示されるパネルで、管理する DingTalk アプリケーションを選択し、[インポート] をクリックします。次に、インポート操作を確認します。

    3. DingTalk アカウントに SAML アプリケーションにアクセスするための権限を付与します。

      1. 左側のナビゲーションペインで、[承認] > [アプリケーション承認] を選択します。

      2. [アプリケーション] タブの左側の [アプリケーション承認対象] セクションで、アプリケーションをクリックします。右側の [アカウント] タブで、管理するアカウントを選択し、[保存] をクリックします。表示されるメッセージで、[OK] をクリックします。

    ステップ 5:IDaaS IdP を SASE に接続する

    DingTalk データを IDaaS に同期した後、IDaaS IdP を SASE に接続する必要があります。この方法で、SASE を使用して DingTalk ユーザーのアクセス権限を管理できます。 IDaaS IdP を SASE に接続する方法の詳細については、「SASE を使用して IDaaS (旧バージョン) ユーザーの安全なアクセスを確保する」をご参照ください。

    説明

    IDaaS IdP を SASE に接続すると、アカウントとパスワードを入力せずに DingTalk アプリから QR コードをスキャンすることで、SASE クライアントにログオンできます。