Secure Access Service Edge (SASE) を DingTalk に接続します。これにより、エンタープライズユーザーは DingTalk アカウントで SASE クライアントにログインできます。その後、SASE でアクセス権限を管理して、エンタープライズデータを保護できます。このトピックでは、SASE を DingTalk に接続する方法について説明します。
シナリオ
SASE は、従業員のプライベートアクセス権限とインターネットアクセス権限を管理し、エンタープライズデータを保護するのに役立ちます。DingTalk を使用して企業のユーザー情報を管理している場合は、SASE を DingTalk に接続できます。この接続により、ユーザーは DingTalk アカウントで SASE クライアントにログインできます。SASE 用に別の ID 管理システムを維持する必要がなく、ユーザー情報のメンテナンスコストを削減できます。
手順
前提条件
Secure Access Service Edge を有効化し、SASE クライアントをインストールします。
このトピックの DingTalk 操作は、新しい DingTalk コンソールで実行されます。DingTalk Open Platform に関する情報は参考用です。詳細については、DingTalk の公式ドキュメントをご参照ください。
ステップ 1: DingTalk アプリケーションを作成し、アプリケーションのホームページ URL を追加する
1.1 DingTalk アプリケーションの作成
DingTalk データを SASE に同期するには、まず DingTalk Open Platform で DingTalk アプリケーションを作成する必要があります。
DingTalk Robot の Webhook は 2024 年 1 月 1 日から段階的に商用化され、2024 年 2 月 1 日に完全に商用化されました。無料クォータは暦月あたり 5,000 回の呼び出しです。詳細については、「Webhook の商用化に関するお知らせ」をご参照ください。
DingTalk マーケットプレイスでは、Alibaba Cloud ミニアプリを有効化して、DingTalk からのアラート通知を無料で受信できます。今すぐ有効化 をクリックします。
管理者アカウントを使用して DingTalk Open Platform にログインします。トップメニューバーで、 をクリックします。
ナビゲーションウィンドウで、 を選択します。
[DingTalk アプリケーション] ページで、[アプリケーションの作成] をクリックします。
[社内向けアプリケーションの作成] ダイアログボックスで、次の表の説明に従ってパラメーターを設定します。
パラメーター
説明
例
アプリケーション名
アプリケーションの名前。
名前に漢字、大文字、小文字、数字を含めることができます。
AlibabaCloudSASE
アプリケーションの説明
アプリケーションの説明。
AlibabaCloudSASE
アプリケーションアイコン
アプリケーションのアイコン。
イメージは JPG または PNG フォーマットで、240 × 240 ピクセル以上、縦横比 1:1、サイズ 120 KB 以下で、角半径がない必要があります。
[作成] をクリックします。
1.2 ホームページ URL の設定
作成した AlibabaCloudSASE アプリケーションのホームページ URL を追加します。
[DingTalk アプリケーション] ページで、作成した [AlibabaCloudSASE] アプリケーションをクリックします。
ナビゲーションウィンドウで、 を選択します。
[Web アプリ] ページで、[アプリケーションホームページ URL] を https://login.aliyuncsas.com/ui/dingAuth/ に設定し、[保存] をクリックします。
ステップ 2: API 権限、セキュリティ設定、共有設定を追加する
2.1 API 権限の追加
DingTalk の組織構造を同期するには、API 権限を追加する必要があります。
管理者アカウントを使用して DingTalk Open Platform にログインします。トップメニューバーで、 をクリックします。
ナビゲーションウィンドウで、 を選択します。
[DingTalk アプリケーション] ページで、作成した [AlibabaCloudSASE] アプリケーションをクリックします。
ナビゲーションウィンドウで、[権限管理] をクリックします。
[権限管理] ページで、権限の範囲を設定し、次の権限を有効にできます。
権限の範囲を [全従業員] に設定します。
個人の携帯電話番号情報
アドレス帳の個人情報の読み取り権限
企業の従業員の携帯電話番号情報
メールおよびその他の個人情報
アドレス帳の部署情報の読み取り権限
メンバー情報の読み取り権限
アドレス帳の部署メンバーの読み取り権限
2.2 セキュリティ設定の構成
コールバックドメイン名を設定すると、従業員は DingTalk の認証情報を使用するか、モバイルデバイスで QR コードをスキャンして SASE クライアントにログインできます。
ナビゲーションウィンドウで、 を選択します。
[セキュリティ設定] ページの [サーバー出口 IP] フィールドに、DingTalk サーバーサイド API を呼び出すサーバーの IP アドレスを入力します。
[リダイレクト URL (コールバックドメイン)] を https://login.aliyuncsas.com/open-dev/dingtalk に設定し、[保存] をクリックします。
ナビゲーションウィンドウで、 を選択します。
[共有設定] ページの [ログイン連携] セクションで、コールバックドメイン名として https://login.aliyuncsas.com/open-dev/dingtalk を追加します。
2.3 共有設定の構成
必要に応じて共有設定を構成します。これにより、ユーザーはログイン後にコンテンツをすばやく共有でき、企業内の情報共有とコラボレーションが促進されます。
[共有設定] ページの [共有連携] セクションで、[編集] をクリックします。次の表の説明に従って [iOS 共有] と [Android 共有] のパラメーターを設定し、[保存] をクリックします。
カテゴリ | パラメーター | 値 |
IOS 共有 | iOS Bundle ID | com.aliyun.security.saseiosApp |
Android 共有 | Android パッケージ名 | com.aliyun.security.sase |
Android 署名 | 294e7d6880381b01ea56d91ee6656ff0 |
ステップ 3: SASE を DingTalk データに接続する
DingTalk で設定を構成した後、SASE の ID ソース設定で DingTalk データへの接続を確立する必要があります。
SASE コンソールにログインします。
ナビゲーションウィンドウで、 を選択します。
Identity synchronization タブで、Create IdP をクリックします。
Create IdP パネルで DingTalk を選択し、Configure をクリックします。ウィザードに従って設定を完了します。
Basic Configurations ステップで、次の表の説明に従ってパラメーターを設定します。
パラメーター
説明
例
IdP Name
DingTalk ID ソースの名前。
名前は 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を含めることができます。
test
Description
設定の説明。
説明は SASE クライアントインターフェイスにログインタイトルとして表示され、ログイン時に ID ソースに関する情報を提供します。
DingTalk ログイン
IdP Status
必要に応じて ID ソースのステータスを設定します。有効な値は次のとおりです。
Enabled: ID ソースは作成後に有効になります。
Closed: ID ソースは作成後に無効になります。
重要ID ソースを無効にすると、エンドユーザーは SASE アプリを使用して内部アプリケーションにアクセスできなくなります。注意して進めてください。
有効
CorpId
DingTalk での企業の ID。各企業には一意の CorpId があります。DingTalk Open Platform のホームページから CorpId を取得します。
ding3608be7c4e5266ce4ac5d6980864****
AppKey
DingTalk Open Platform で作成されたアプリケーションの AppKey。DingTalk Open Platform のターゲットアプリケーションの [認証情報と基本情報] ページから AppKey を取得します。
dingwjlht8b93ara****
AppSecret
DingTalk Open Platform で作成されたアプリケーションの AppSecret。DingTalk Open Platform のターゲットアプリケーションの [認証情報と基本情報] ページから AppSecret を取得します。
1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****
Advanced Settings
DingTalk Type: DingTalk Standard または Dedicated DingTalk を選択します。
Event Subscription: イベントサブスクリプションを設定すると、従業員の組織構造が SASE に同期されます。これにより、組織構造が調整されたり、従業員が退職したりしたときに、SASE のセキュリティポリシーが迅速に更新されるようになります。
AES Encryption Key
DingTalk Open Platform のターゲットアプリケーションの Event Subscription ページから暗号化 aes_key を取得します。
暗号化トークン
DingTalk Open Platform のターゲットアプリケーションの Event Subscription ページから暗号化トークンを取得します。
暗号化 aes_key: SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM******
暗号化トークン: YYwR3A3rV6mrvpC******
Automatic Synchronization
Automatic Synchronization を有効にすると、システムは同期モードに基づいて DingTalk から情報を自動的に同期します。
Automatic Synchronization を有効にしない場合は、組織構造を手動で同期する必要があります。詳細については、「同期レコードの表示」をご参照ください。
有効
Synchronize User Information
Synchronize User Information を有効にすると、システムは Automatic Synchronization Cycle に基づいて DingTalk から従業員情報を自動的に同期します。
説明Automatic Synchronization が無効になっている場合、Synchronize User Information 機能は実行されません。
有効
Automatic Synchronization Cycle
Automatic Synchronization Cycle を設定します。間隔は 1 時間から 24 時間まで設定できます。
24 時間
パネルには、必要な設定リンクが表示されます。リンクをクリックしてコピーできます。
Copy Request URL: この値を使用して、DingTalk Open Platform でサブスクリプション管理を設定します。
Copy Application Homepage Address: この値を使用して、DingTalk Open Platform でアプリケーションの詳細を表示します。
Copy Callback Domain Name: この値を使用して、DingTalk Open Platform でコールバックドメインを設定します。
Connectivity Test をクリックします。テストが成功したら、Next をクリックします。
説明Connection Failed メッセージが表示された場合は、サーバーアドレスとサーバーポートが正しいことを確認してください。
Synchronization Settings ステップで、組織構造の同期範囲とフィールドマッピングを設定します。その後、[確認] をクリックします。
パラメーター
説明
Organizational Structure Synchronization
組織構造の同期範囲を設定します。
Synchronize All: DingTalk の組織構造全体を SASE システムに同期します。
Partially Synchronize: 同期する組織構造を選択します。
Field Synchronization Mapping
DingTalk の組織構造フィールドと SASE の同期フィールド間のマッピングを設定します。
説明SASE システムの組み込みの Local Field After Mapping がビジネス要件を満たさない場合は、リストの右上隅にある View Extended Fields をクリックします。View Extended Fields パネルで、拡張フィールドを追加、編集、または削除できます。
ステップ 4: DingTalk イベントサブスクリプションを設定する
アプリケーションがリアルタイムでイベント通知を受信できるように、DingTalk イベントサブスクリプションを設定します。
管理者アカウントを使用して DingTalk Open Platform にログインします。トップメニューバーで、 をクリックします。
ナビゲーションウィンドウで、 を選択します。
[DingTalk アプリケーション] ページで、作成した [AlibabaCloudSASE] アプリケーションをクリックします。
イベントサブスクリプションを設定します。
ナビゲーションウィンドウで、[イベントサブスクリプション] をクリックします。[プッシュ方法] を [HTTP プッシュ] に設定します。[暗号化 Aes_key]、[署名トークン]、および [リクエスト URL] を入力します。これらのパラメーターを設定するには、次の手順に従います。
Secure Access Service Edge コンソールで、ステップ 3 で作成した IdP を見つけます。[ID ソースの編集] パネルで、[リクエストアドレス] パラメーターの値をコピーします。次に、それを DingTalk Open Platform アプリケーションの [イベントサブスクリプション] セクションの [リクエスト URL] フィールドに貼り付けます。
DingTalk Open Platform アプリケーションの [イベントサブスクリプション] ページから [Encrypt Aes_key] と [Signature Token] をコピーし、SASE コンソールの [ID ソースの編集] パネルにある対応する [Encrypt Aes_key] フィールドと [Encryption Token] フィールドに貼り付けます。詳細については、次のスクリーンショットをご参照ください。
設定が完了したら、ID ソースパネルとイベントサブスクリプションページの両方で [保存] をクリックします。
[イベントサブスクリプション] ページで、有効にするアドレス帳イベントを選択します。
これらのイベントには、アドレス帳にユーザーが追加されました、アドレス帳のユーザーが変更されました、アドレス帳からユーザーが削除されました、アドレス帳に部署が作成されました、アドレス帳の部署が変更されました、アドレス帳の部署が削除されました が含まれます。DingTalk イベントサブスクリプションの設定方法の詳細については、「イベントサブスクリプション」をご参照ください。
ステップ 5: 接続を検証する
インストールした SASE クライアントを開きます。
企業の検証 ID を入力し、[確認] をクリックします。
Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウで、Settings ページに移動して Enterprise Authentication Identifier を取得します。
DingTalk のユーザー名とパスワードを入力して [ログイン] をクリックするか、QR コードをスキャンしてログインします。
ログインが成功すると、接続が確立されたことを示します。