您也可以通過應用身份服務IDaaS(Alibaba Cloud IDentity as a Service)將DingTalk資料同步到辦公安全平台SASE(Secure Access Service Edge),以便使用SASE管控DingTalk使用者的存取權限。本文主要介紹如何將DingTalk資料同步到辦公安全平台。
前提條件
操作流程
在使用辦公安全平台之前,您需要先將DingTalk資料同步到IDaaS,然後再建立辦公安全平台與IDaaS之間的串連。
本文關於DingTalk的描述均是指在DingTalk新版控制台上的操作。
步驟一:建立DingTalk應用
當您需要將DingTalk資料同步到辦公安全平台,您需要在DingTalk開放平台上先建立DingTalk應用。通過建立DingTalk應用擷取AppKey和AppSecret,用於免登入過程中驗證身份。
使用管理員帳號登入DingTalk開放平台。
在頂部功能表列,單擊應用開發。
在左側導覽列,單擊DingTalk應用。然後單擊建立應用。
在建立應用面板,請參考如下表格說明設定相關參數。
配置項
說明
樣本值
應用程式名稱
應用的名稱。
應用程式名稱只能由中文、英文大寫字元、小寫字元及阿拉伯數字組成。
阿里雲SASE
應用描述
應用的補充說明。
阿里雲SASE
應用表徵圖
應用的表徵圖。
請上傳圖片的格式為JPG或者PNG、像素在240*240 px以上、長寬比為1:1、圖片大小在2MB以內的無圓角表徵圖。
表徵圖單擊確定建立。
步驟二:添加認證源
您需要在應用身份管理先添加並啟用一個認證源,才能開啟外部認證,用於您後續登入辦公安全平台。
使用管理員帳號登入IDaaS管理主控台。在頁簽,單擊已建立的執行個體ID。
在左側導覽列,選擇。
在認證源頁面,單擊右上方的添加DingTalk認證源。
在添加認證源頁面,單擊DingTalk微應用登入的右側操作列中添加認證源。
在添加認證源(DingTalk微應用登入)面板,請參考如下表格說明設定相關參數,然後單擊提交。
配置項
說明
樣本值
認證源名稱
認證源名稱,使用預設值DingTalk微應用登入。
DingTalk微應用登入
AgentID
AgentID從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取。
320543****
CorpID
CorpID從DingTalk開放平台上首頁擷取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppKey
AppKey從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppSecret
AppSecret從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
完成添加認證源後,返回到認證源頁面,開啟已添加的DingTalk微應用登入。
步驟三:設定DingTalk應用並發布
當您添加並開啟認證源後,您需要根據如下步驟設定並發布DingTalk應用。
使用管理員帳號登入DingTalk開放平台。
在頂部功能表列,單擊應用開發。
在左側導覽列,單擊DingTalk應用。
在DingTalk應用頁面,單擊已建立的阿里雲SASE。
在阿里雲SASE H5微應用頁面的左側導覽列,選擇。
在安全設定頁面,添加伺服器出口IP和端內免登地址資訊。
說明IDaaS伺服器出口IP需要聯絡IDaaS服務團隊擷取。具體路徑,請參考諮詢反饋。
應用首頁地址從IDaaS管理主控台上目標認證源的認證源詳情面板中擷取。
例如:https://aliyundoc.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id},其中agentId為DingTalk應用的AgentId,appId為建立的IDaaS應用(SAML)的應用ID。關於建立IDaaS應用(SAML)的具體操作,請參見步驟二:建立SAML應用並授權訪問應用。
在版本管理與發布頁面,單擊確認發布。
步驟四:同步DingTalk資料
已經完成DingTalk應用的發布後,請參考如下步驟同步DingTalk資料。
使用管理員帳號登入IDaaS管理主控台。在頁簽,單擊已建立的執行個體ID。
同步DingTalk資料。
在左側導覽列,選擇。
在機構及組頁面,單擊配置DingTalk同步。
在右側DingTalk同步配置面板,單擊建立配置。
請參考如下表格說明設定相關參數,然後單擊儲存。
配置項
說明
樣本值
名稱
DingTalk同步配置的名稱。支援中文、大小寫字母、數字。
SASEtest
corpld
CorpID從DingTalk開放平台上首頁擷取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appKey
appKey從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appSecret
appSecret從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
是否啟用
您需要設定為啟用狀態,否則將無法同步DingTalk資料。
啟用
郵箱欄位
指定作為主郵箱的郵箱。
個人郵箱
預設密碼
用於登入IDaaS平台的預設密碼。
重要設定的密碼需符合當前的密碼原則,否則無法同步DingTalk資料。
****
在機構及組頁面,單擊。
選擇目標DingTalk應用,單擊右側匯入。然後單擊確定匯入。
對DingTalk資料授予訪問SAML應用的許可權。
在左側導覽列,選擇。
在應用授權主體頁簽的左側應用地區,單擊建立的應用,在右側賬戶頁簽,選中建立的賬戶,然後單擊確定。
步驟五:建立SASE與IDaaS的串連
將DingTalk資料同步到IDaaS後,您需要建立SASE與IDaaS的串連,才能使用SASE對DingTalk使用者的存取權限進行管控。關於建立串連的具體操作,請參見通過辦公安全平台保障IDaaS(舊版)使用者安全訪問。
當您建立SASE與IDaaS的串連後,您可以使用DingTalk掃描二維碼的方式登入SASE,不需要使用帳號和密碼登入了。