Secure Access Service Edge (SASE) は、ID ベースのセキュリティポリシーを適用します。企業が Lark を ID プロバイダー (IdP) として使用して組織構造を管理している場合、Lark IdP を SASE に接続することで、従業員はユーザー ID 情報を再設定することなく、既存の Lark アカウントを使用して SASE アプリにログインできます。
使用制限
一度に有効にできるデータソースは 5 つまでです。
一度に有効にできるカスタムデータソースは 1 つだけです。
クォータに達した場合は、新しいデータソースを有効にする前に、既存のデータソースを無効にしてください。
前提条件
開始する前に、以下をご確認ください。
Lark Open Platform で作成された自社開発アプリケーションがあり、その App ID と App Secret が利用可能であること
(オプション) リアルタイムの組織構造同期のためにイベントサブスクリプションを設定する場合は、Lark Open Platform の アドレス帳同期 ページへのアクセス権限があること
Lark データソースへの接続
ステップ 1: Lark Open Platform からの認証情報の取得
SASE を設定する前に、Lark Open Platform から次の値を取得します。
| 値 | 取得場所 |
|---|---|
| App ID | Lark Open Platform で、自社開発アプリケーションを開きます。 |
| App Secret | 同じ自社開発アプリケーション内にあります。 |
| Encrypt Key (オプション) | Lark Open Platform の アドレス帳同期 |
| Verification Token (オプション) | アプリケーションの [アドレス帳同期] ページで、Lark Open Platform 上。イベントサブスクリプションを有効にする場合のみ必須です。 |
ステップ 2: SASE での Lark データソースの設定
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、ID 認証 > ID アクセス を選択します。
ID 同期 タブで、IdP の作成 をクリックします。
IdP の作成 パネルで Lark を選択し、設定 をクリックして、設定ウィザードを完了します。
基本設定 ステップで、次のパラメーターを設定します。
パラメーター 説明 IdP 名 Lark データソースの名前。長さは 2~100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を使用できます。 説明 SASE クライアントにログインタイトルとして表示される説明。従業員がログイン時にデータソースを識別するのに役立ちます。 IdP ステータス ID ソースの初期ステータス: 有効 または 無効。 重要ID ソースを無効にすると、エンドユーザーは SASE アプリを使用して内部アプリケーションにアクセスできなくなります。操作は慎重に行ってください。
App ID Lark プラットフォーム上の自社開発アプリケーションの ID。 App Secret Lark プラットフォーム上の自社開発アプリケーションのパスワード。 リダイレクト URL 静的な値: https://login.aliyuncsas.com/open-dev/feishu。この値をコピーし、Lark Open Platform の 開発者コンソール > エンタープライズ向けアプリケーション > セキュリティ設定 で設定します。自動同期 有効にすると、SASE がスケジュールに従って Lark から組織構造を自動的に同期します。無効にした場合は、手動で同期をトリガーする必要があります。 ユーザー情報の同期 有効にすると、自動同期サイクル に基づいて従業員情報が自動的に同期されます。自動同期 が無効の場合は効果がありません。 自動同期サイクル 同期の間隔。有効な値: 1 時間から 24 時間。 (オプション) 詳細設定 — イベントサブスクリプション
イベントサブスクリプションを設定すると、次回のスケジュールされた同期を待たずに、リアルタイムの組織変更 (従業員の退職や部署の再編など) を SASE に即座にプッシュできます。
パラメーター 説明 [暗号化キー] アドレス帳の同期Lark Open Platform の ページから取得します。 [検証トークン] アドレス帳の同期Lark Open Platform のご利用のアプリケーションの ページから取得します。 [リクエスト URL] この値は、Lark Open Platform でリダイレクト URL を設定するために使用されます。 サブスクライブされるイベント: 部署の作成、部署の削除、部署情報の変更、従業員の退職、従業員情報の変更。
接続テスト をクリックします。テストが成功したら、次へ をクリックします。
「接続に失敗しました」というメッセージが表示された場合は、指定した情報が正しいか確認してください。
同期設定 ステップで、同期範囲とフィールドマッピングを設定し、OK をクリックします。
パラメーター 説明 組織構造の同期 すべて同期: Lark から SASE へ組織構造全体を同期します。部分的に同期: 同期する組織構造の特定の部分を選択します。 フィールド同期マッピング Lark の組織構造フィールドを SASE のフィールドにマッピングします。組み込みの マッピング後のローカルフィールド オプションが要件を満たさない場合は、右上隅の 拡張フィールドの表示 をクリックして、拡張フィールドを追加、編集、または削除します。
ウィザードを完了すると、Lark データソースが ID 同期 タブに表示されます。
同期レコードの表示
ID 同期 タブで、対象の ID ソースを見つけ、操作 列の 同期レコード をクリックします。
同期レコード ページで、ID ソースの同期履歴を確認します。
左側の 同期タスク エリアで、特定の同期タスクをクリックすると、右側にその詳細が表示されます。
操作 列の 詳細 をクリックして、その同期におけるサードパーティのデータソースと SASE データソースのフィールド値を比較します。
手動同期
自動同期 を有効にしていない場合、または組織構造が変更されて即時同期が必要な場合は、同期タスクの作成 をクリックし、次に OK をクリックします。レコードを確認する前に、タスクが完了するまで待ちます。
同期が正常に完了した後は、[ID 認証] > [ID アクセス] > [従業員センター] の下で更新された組織構造および従業員情報を表示できます。詳細については、「Employee Center」をご参照ください。
自動同期の無効化
次のいずれかの方法を使用します。
ID 同期 タブで、対象の ID ソースを見つけ、自動同期 列のスイッチをオフにします。
IdP の編集 パネルで、自動同期スイッチをオフにします。
その他の操作
| 操作 | 手順 |
|---|---|
| Lark データソースの編集 | ID 同期 タブで、対象の Lark データソースを見つけ、操作 列の 編集 をクリックします。 |
| Lark データソースの無効化 | ID 同期 タブで、対象の Lark データソースを見つけ、IdP ステータス 列のスイッチをオフにします。 |
| Lark データソースの削除 | ID 同期 タブで、対象の Lark データソースを見つけ、操作 列の 削除 をクリックします。 |
次のステップ
SASE データソースを設定する: 企業が既存の IdP を使用していない場合は、組み込みの SASE カスタムデータソースを使用して組織構造を作成します。詳細については、「SASE データソースを設定する」をご参照ください。
別のデータソースへの接続: SASE は、ID ソースとして Lightweight Directory Access Protocol (LDAP)、DingTalk、WeCom、Lark、および IDaaS をサポートしています。
ユーザーグループの設定: 組織構造外にユーザーグループを作成するには、「ユーザーグループ管理」をご参照ください。