全部產品
Search

搜尋本產品

    Secure Access Service Edge:通過辦公安全平台保障DingTalk使用者安全訪問

    文件中心

    Secure Access Service Edge:通過辦公安全平台保障DingTalk使用者安全訪問

    更新時間:Aug 09, 2025

    建立辦公安全平台SASE(Secure Access Service Edge)與DingTalk的串連,使您的企業使用者直接以DingTalk帳號登入SASE,方便您在SASE管控DingTalk使用者的存取權限,從而保障企業的辦公資料安全。本文介紹如何建立SASE與DingTalk的串連。

    應用情境

    SASE協助您管控企業員工的內網存取權限、互連網存取權限,以及保護企業辦公資料,滿足企業對日常辦公安全的需求。當您已經使用DingTalk管理企業的使用者資訊,此時,您可以通過SASE與DingTalk的串連,實現企業使用者直接使用DingTalk帳號登入SASE用戶端,無需再維護一套SASE的身份管理系統,為您降低使用者資訊的維護成本。

    操作流程

    前提條件

    已開通辦公安全平台,並安裝SASE用戶端

    重要

    本文關於DingTalk的描述均是指在DingTalk新版控制台上的操作。關於DingTalk開放平台的內容僅供參考,具體內容請參見DingTalk官網文檔。

    步驟1:建立DingTalk應用和添加應用首頁地址

    1.1 建立DingTalk應用

    當您需要將DingTalk資料同步到SASE,首先要在DingTalk開放平台建立DingTalk應用。

    說明

    • DingTalk機器人的Webhook自2024年01月01日起逐步分階梯商業化,從02月01日開始全量商業化,免費額度為5000次/自然月。更多資訊,請參見Webhook免費轉商業化公告

    • 在DingTalk應用市場,開通阿里雲小程式,可以通過DingTalk免費獲得警示推送,單擊立即開通

    1. 使用管理員帳號登入DingTalk開放平台。在頂部功能表列,單擊應用開發

    2. 在左側導覽列,選擇企業內部應用 > DingTalk應用

    3. DingTalk應用頁面,單擊建立應用

    4. 建立企業內部應用對話方塊,參考如下表格說明設定相關參數。

      配置項

      說明

      樣本值

      應用程式名稱

      應用的名稱。

      應用程式名稱只能由中文、英文大寫字元、小寫字元及阿拉伯數字組成。

      阿里雲SASE

      應用描述

      應用的補充說明。

      阿里雲SASE

      應用表徵圖

      應用的表徵圖。

      上傳圖片的格式為JPG或者PNG、像素在240*240 px以上、長寬比為1:1、圖片大小在120 KB以內的無圓角表徵圖。

      表徵圖

    5. 單擊確定建立

    1.2 配置首頁地址

    為建立的阿里雲SASE應用添加首頁地址。

    1. DingTalk應用頁面,單擊已建立的阿里雲SASE

    2. 在左側導覽列,選擇應用能力 > 網頁應用

    3. 網頁應用頁面,添加應用首頁地址為https://login.aliyuncsas.com/ui/dingAuth/,單擊儲存

    步驟2:添加介面許可權、安全設定和分享設定

    2.1 添加介面許可權

    添加介面許可權才能成功同步DingTalk組織機構,添加應用首頁地址可以更安全地訪問內網應用。

    1. 使用管理員帳號登入DingTalk開放平台。在頂部功能表列,單擊應用開發

    2. 在左側導覽列,選擇企業內部應用 > DingTalk應用

    3. DingTalk應用頁面,單擊已建立的阿里雲SASE

    4. 在左側導覽列,單擊許可權管理

    5. 許可權管理頁面,設定許可權範圍,並開通如下許可權。

      許可權範圍選取全部員工

      • 個人手機號資訊

      • 通訊錄個人資訊讀許可權

      • 企業員工手機號資訊

      • 郵箱等個人資訊

      • 通訊錄部門資訊讀許可權

      • 成員資訊讀許可權

      • 通訊錄部門成員讀許可權

    2.2 安全設定

    通過配置回調網域名稱,員工可以使用DingTalk賬密或者移動端掃碼登入SASE用戶端。

    1. 左側導覽列,選擇開發配置 > 安全設定

    2. 安全設定頁面,伺服器出口IP中設定調用DingTalk服務端API的伺服器IP列表。

    3. 重新導向URL(回調網域名稱)設定為https://login.aliyuncsas.com/open-dev/dingtalk,單擊儲存

    4. 在左側導覽列,選擇開發配置 > 分享設定

    5. 分享設定頁面,接入登入地區,添加回調網域名稱為https://login.aliyuncsas.com/open-dev/dingtalk。

    2.3 分享設定

    您可根據業務需要配置分享設定,使用者一鍵登入後可快速實現內容分享,方便企業內部資訊共用和協作。

    分享設定頁面,接入分享地區單擊編輯,按照下方表格配置iOS分享Android分享相關參數後,單擊儲存完成設定。

    類別

    配置項

    取值

    iOS分享

    iOS Bundle ID

    com.aliyun.security.saseiosApp

    Android分享

    Android包名稱

    com.aliyun.security.sase

    Android簽名

    294e7d6880381b01ea56d91ee6656ff0

    步驟3:建立辦公安全平台與DingTalk資料的串連

    配置完DingTalk資料後,您需要在SASE的身份源設定功能中建立與DingTalk資料的串連。

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇身份認證管理 > 身份接入

    3. 身份同步頁簽單擊新增身份源

    4. 新增身份源面板中,選擇DingTalk,然後單擊开始配置,根據設定精靈完成相關配置。

    5. 基礎配置嚮導中,參考下表內容進行配置。

      配置項

      說明

      樣本值

      身份源名稱

      DingTalk的名稱。

      長度為2~100個字元,支援輸入漢字與字母、數字、短劃線(-)和底線(_)。

      test

      描述

      該配置的描述資訊。

      該描述會作為登入標題顯示在辦公安全平台用戶端介面,方便您登入時知曉身份源資訊。

      DingTalk登入

      身份源状态

      根據需要配置身份源狀態。取值:

      • 已開啟:建立成功後開啟身份源開關。

      • 已關閉:建立成功後關閉身份源開關。

        重要

        關閉身份源開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。

      已開啟

      CorpId

      企業在DingTalk中的標識,每個企業擁有唯一的CorpId。從DingTalk開放平台上首頁擷取CorpID。

      ding3608be7c4e5266ce4ac5d6980864****

      AppKey

      DingTalk開放平台中建立應用的AppKey。從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取AppKey。

      dingwjlht8b93ara****

      AppSecret

      DingTalk開放平台中建立應用的AppSecret。從DingTalk開放平台上目標應用的憑證與基礎資訊頁面擷取AppSecret。

      1Uji1mEjhmWq_SmE0KNScspYk0bBgDrlZ95vUTR-bn4FbfeVQQKNr1_1giWA****

      高級配置

      钉钉类型:選擇标准钉或者专属钉

      事件订阅:配置事件訂閱後,企業員工的組織架構會同步至SASE,實現企業員工的組織架構調整或離職情境下SASE安全性原則的時效性。

      • 加密aes_key:SRIcwnup1JHFJ4O2SzLS1RtQGJzC3RG2c33AM******

      • 加密token:YYwR3A3rV6mrvpC******

      自动同步

      開啟自动同步開關後,系統將自動根據同步模式從DingTalk同步相關資訊。

      如果您未開啟自动同步,需要手動同步群組織架構,具體操作,請參見查看同步記錄

      已開啟

      同步员工信息

      開啟同步员工信息開關後,系統將根據自动同步周期,自動從DingTalk同步員工資訊。

      說明

      若未開啟自动同步功能,則不執行同步员工信息功能。

      已開啟

      自动同步周期

      設定自动同步周期,支援設定每1小時-每24小時自動同步一次。

      24小時

      同時為您提供了配置所需的相關串連,您可以單擊面板下方的複製串連。

    6. 單擊連通性測試,測試成功後,單擊下一步

      說明

      如果提示连接失败,請檢查伺服器位址和伺服器連接埠等資訊是否填寫錯誤。

    7. 同步配置嚮導中,對組織架構的同步範圍及欄位對應進行配置,然後單擊確認

      配置項

      說明

      組織架構同步

      配置同步群組織架構的範圍。

      • 全部同步:將DingTalk的組織架構全部同步到SASE系統中。

      • 部分同步:選擇需要同步的組織架構。

      字段同步映射

      配置DingTalk組織架構欄位與SASE同步欄位的映射關係。

      說明

      如果SASE系統內建的映射后本地字段無法滿足您的業務需求,您可以單擊列表右上方的查看扩展字段,在查看扩展字段面板中對擴充欄位進行新增、編輯、刪除等操作。

    步驟4:配置DingTalk事件訂閱

    配置DingTalk事件訂閱,可確保應用能夠即時接收事件通知。

    1. 使用管理員帳號登入DingTalk開放平台。在頂部功能表列,單擊應用開發

    2. 在左側導覽列,選擇企業內部應用 > DingTalk應用

    3. DingTalk應用頁面,單擊已建立的阿里雲SASE

    4. 配置事件訂閱。

      1. 在左側導覽列,單擊事件訂閱推送方式選擇HTTP推送,輸入加密aes_key簽名token請求網址,具體配置請參考以下步驟。

        1. 辦公安全平台控制台找到步驟三中建立的身份源執行個體,在編輯身份源面板複製請求地址,粘貼到此處DingTalk開放平台應用事件訂閱配置中對應的請求網址

        2. 複製此處DingTalk開放平台應用事件訂閱產生加密aes_key簽名token,粘貼到辦公安全平台控制台編輯身份源面板中所對應的加密aes_key加密token配置項,具體可參考下方配置項截圖。

        3. 配置完成後,分別儲存身份源和事件訂閱中的配置項。

      2. 事件訂閱頁面,選擇開啟的通訊錄事件。

        包含通訊錄使用者增加通訊錄使用者更改通訊錄使用者離職通訊錄企業部門建立通訊錄企業部門修改通訊錄企業部門刪除。關於如何配置DingTalk的事件訂閱,請參見事件訂閱

    步驟5:查看串連是否建立成功

    1. 開啟您已安裝的SASE App。

    2. 輸入企業認證標識,然後單擊確認

      您可以登入辦公安全平台控制台在左側導覽列的設定頁面,擷取企業認證標識

    3. 輸入DingTalk使用者帳號和密碼,單擊登入,或掃描二維碼登入。

      若登入成功,表示串連已經建立成功。