Secure Access Service Edge:承認フローを設定する

承認フローの作成

1. Secure Access Service Edge コンソールにログインします。

2. 左側のナビゲーションウィンドウで、Terminal Protection > Security Alertsを選択します。

3. Workflow Management ページで、Create Workflow をクリックします。

4. Create Approval Workflow パネルで、次のパラメーターを設定します。

   設定項目	説明
   Workflow Name	承認フローの名前を入力します。 名前は 1～128 文字で、漢字、文字、数字、ハイフン (-)、アンダースコア (_) を使用できます。
   Approval Process Type	承認フローのタイプを選択します。3 つのタイプがサポートされています。 Built-in Approval Process: SASE サービスの承認フローに適用されます。 DingTalk Approval Process: このタイプは、DingTalk と統合された承認フローに適用されます。 WeCom Approval Process: このタイプは、WeCom と統合された承認フローに適用されます。

   以降の設定項目は、選択した Approval Process Type によって異なります。選択したタイプのパラメーターを設定します。

   組み込み承認フロー

   設定項目	説明
   Approval Workflow	承認者フローを設定します。少なくとも 1 レベルの承認者を追加します。最大 5 レベルの承認者を追加できます。 第 1 レベルには、最大 5 人の承認者を追加できます。第 1 レベルの承認者のいずれかがリクエストを承認すると、フローは承認されます。いずれかの承認者がリクエストを拒否すると、フローは拒否されます。
   承認権限	1 つ以上のフローテンプレートを選択します。フローテンプレートを選択しない場合、対応するポリシーを現在のフローに関連付けることはできません。 フローテンプレートには、次のタイプがあります。 ドメイン名ホワイトリストテンプレート このテンプレートは、インターネットアクセス > 行動管理 のホワイトリストポリシーに使用されます。 ドメイン名ブラックリストテンプレート このテンプレートは、インターネットアクセス > 行動管理 のブラックリストポリシーに使用されます。 ソフトウェア無効化テンプレート このテンプレートは、ソフトウェア管理 > ソフトウェア無効化 の無効化ポリシーに使用されます。 ファイル漏洩テンプレート このテンプレートは、オフィスデータ保護 > 検出ポリシー の検出ポリシーに使用されます。これはファイル漏洩の検出ポリシーです。 アプリアンインストールポリシテンプレート このテンプレートは、エンドポイント管理 > アンインストール承認 の登録ポリシーに使用されます。 周辺機器コントロールテンプレート このテンプレートは、オフィスデータ保護 > 周辺機器管理 の検出ポリシーに使用されます。

   DingTalk 承認フロー

   設定項目	説明
   クライアント ID	DingTalk アプリケーションの ID。 クライアント ID とクライアントシークレットの取得方法 DingTalk Open Platform にログインします。トップメニューバーで、アプリケーション開発を選択します。 左側のナビゲーションウィンドウで、DingTalk アプリを選択します。作成したアプリケーションの名前をクリックして、アプリケーション詳細ページに移動します。 左側のナビゲーションウィンドウで、認証情報と基本情報を選択します。アプリ認証情報ページで、クライアント ID と クライアントシークレット を表示します。
   クライアントシークレット	DingTalk アプリケーションのシークレット。
   aes_key	DingTalk イベントサブスクリプションの暗号化認証情報。 aes_key とトークンの取得方法 DingTalk Open Platform にログインします。トップメニューバーで、アプリケーション開発を選択します。 左側のナビゲーションウィンドウで、DingTalk アプリを選択します。作成したアプリケーションの名前をクリックして、アプリケーション詳細ページに移動します。 左側のナビゲーションウィンドウで、イベントサブスクリプションを選択します。 [イベントサブスクリプション] ページで、[プッシュ方法] を [HTTP プッシュ] に設定し、リセットボタンをクリックして [暗号化 Aes_key] と [署名トークン] を取得します。 警告 [暗号化 Aes_key] と [署名トークン] を取得した後は、再度リセットしないでください。現在のページを閉じたり、リフレッシュしたりしないでください。[リクエスト URL] を設定する必要があります。
   token	DingTalk イベントサブスクリプションの署名。
   Request URL	DingTalk がイベントサブスクリプションを受信するためのパブリック URL。 重要 この URL を DingTalk Open Platform > アプリケーション開発 > 社内アプリ > DingTalk アプリ > 開発設定 > イベントサブスクリプション ページの [リクエスト URL] フィールドにコピーします。
   Approval Process Configuration	SASE 承認テンプレートと DingTalk 承認フロー間の関連付けとフィールドマッピングを設定します。 Workflow Template: SASE の組み込みフローテンプレート。 Associate DingTalk Process ID: DingTalk 承認フローのフォーム ID を入力します。 DingTalk 承認フローフォーム ID の表示方法 DingTalk 管理コンソールにログインします。 ページの右下隅にある [共通アプリケーション] セクションで、[承認] を選択します。 左側のナビゲーションウィンドウで ワークベンチ > アプリケーション管理 を選択することもできます。アプリケーションリストで [OA 承認] を見つけ、[アクション] 列の [入力] をクリックして [OA 承認管理コンソール] ページに移動します。 左側のナビゲーションウィンドウで、フォーム管理を選択します。 [フォーム管理] リストで、作成された承認フローのフォーム ID を表示します。 System Fields: フローテンプレートの組み込みシステムフィールド。これらのフィールドは編集できません。 Template Fields: 関連付けられた DingTalk フローで設定されたフィールド。 説明 SASE 承認フローは、同じ DingTalk アプリケーションで作成された複数の承認フォームにアタッチできます。Add をクリックして、さまざまな承認フローを設定できます。

   WeCom 承認フロー

   WeCom 承認フローを選択した後、管理者は WeCom クライアントを使用して QR コードをスキャンし、権限付与を行う必要があります。その後、Alibaba Cloud カスタマーサービスに連絡して、フローアプリケーションのバックエンド設定を完了します。バックエンド設定が完了したら、承認フローを設定できます。

   設定項目	説明
   承認テンプレートマッピング	組み込みの SASE フローテンプレートを設定し、WeCom 承認テンプレートに対応するフロー ID を入力します。
   Field ID Mapping	SASE フローテンプレートのシステムフィールドと WeCom 承認テンプレートのフィールド間のマッピングを設定します。

5. [OK] をクリックします。

その他の操作

• フローのコピー: 既存の承認フローをクローンするには、[アクション] 列の [コピー] をクリックします。

  説明

  現在、この操作は組み込みの承認フローでのみサポートされています。

• フローの編集: 承認フローを変更するには、[アクション] 列の [編集] をクリックします。

• フローの削除: 承認フローがどのポリシーにも関連付けられていない場合にのみ、フローを削除できます。フローを削除するには、[アクション] 列の [削除] をクリックします。

リファレンス

• エンタープライズ内のすべてのフローの統計を表示するには、「フローインスタンスの統計を表示する」をご参照ください。

• 組み込みのフローテンプレートを周辺機器に適用して、データセキュリティを確保できます。詳細については、「周辺機器を管理してデータセキュリティを確保する」をご参照ください。

• DingTalk 承認フローを統合する方法については、「DingTalk 承認フローを統合するためのベストプラクティス」をご参照ください。