您也可以通過應用身份服務IDaaS(Alibaba Cloud IDentity as a Service)將釘釘數據同步到辦公安全平臺SASE(Secure Access Service Edge),以便使用SASE管控釘釘用戶的訪問權限。本文主要介紹如何將釘釘數據同步到辦公安全平臺。
前提條件
操作流程
在使用辦公安全平臺之前,您需要先將釘釘數據同步到IDaaS,然后再建立辦公安全平臺與IDaaS之間的連接。
本文關于釘釘的描述均是指在釘釘新版控制臺上的操作。
步驟一:創建釘釘應用
當您需要將釘釘數據同步到辦公安全平臺,您需要在釘釘開放平臺上先創建釘釘應用。通過創建釘釘應用獲取AppKey和AppSecret,用于免登錄過程中驗證身份。
使用管理員賬號登錄釘釘開放平臺。
在頂部菜單欄,單擊應用開發。
在左側導航欄,單擊釘釘應用。然后單擊創建應用。
在創建應用面板,請參考如下表格說明設置相關參數。
配置項
說明
示例值
應用名稱
應用的名稱。
應用名稱只能由中文、英文大寫字符、小寫字符及阿拉伯數字組成。
阿里云SASE
應用描述
應用的補充說明。
阿里云SASE
應用圖標
應用的圖標。
請上傳圖片的格式為JPG或者PNG、像素在240*240 px以上、長寬比為1:1、圖片大小在2MB以內的無圓角圖標。
圖標
單擊確定創建。
步驟二:添加認證源
您需要在應用身份管理先添加并啟用一個認證源,才能開啟外部認證,用于您后續登錄辦公安全平臺。
使用管理員賬號登錄IDaaS管理控制臺。在 頁簽,單擊已創建的實例ID。
在左側導航欄,選擇 。
在認證源頁面,單擊右上角的添加釘釘認證源。
在添加認證源頁面,單擊釘釘微應用登錄的右側操作列中添加認證源。
在添加認證源(釘釘微應用登錄)面板,請參考如下表格說明設置相關參數,然后單擊提交。
配置項
說明
示例值
認證源名稱
認證源名稱,使用默認值釘釘微應用登錄。
釘釘微應用登錄
AgentID
AgentID從釘釘開放平臺上目標應用的憑證與基礎信息頁面獲取。
320543****
CorpID
CorpID從釘釘開放平臺上首頁獲取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppKey
AppKey從釘釘開放平臺上目標應用的憑證與基礎信息頁面獲取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
AppSecret
AppSecret從釘釘開放平臺上目標應用的憑證與基礎信息頁面獲取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
完成添加認證源后,返回到認證源頁面,開啟已添加的釘釘微應用登錄。
步驟三:設置釘釘應用并發布
當您添加并開啟認證源后,您需要根據如下步驟設置并發布釘釘應用。
使用管理員賬號登錄釘釘開放平臺。
在頂部菜單欄,單擊應用開發。
在左側導航欄,單擊釘釘應用。
在釘釘應用頁面,單擊已創建的阿里云SASE。
在阿里云SASE H5微應用頁面的左側導航欄,選擇 。
在安全設置頁面,添加服務器出口IP和端內免登地址信息。
說明IDaaS服務器出口IP需要聯系IDaaS服務團隊獲取。具體路徑,請參考咨詢反饋。
應用首頁地址從IDaaS管理控制臺上目標認證源的認證源詳情面板中獲取。
例如:https://aliyundoc.com/api/public/bff/v1.2/authenticate/ddMicro/login?agentId={id}&appId={id},其中agentId為釘釘應用的AgentId,appId為創建的IDaaS應用(SAML)的應用ID。關于創建IDaaS應用(SAML)的具體操作,請參見步驟二:創建SAML應用并授權訪問應用。
在版本管理與發布頁面,單擊確認發布。
步驟四:同步釘釘數據
已經完成釘釘應用的發布后,請參考如下步驟同步釘釘數據。
使用管理員賬號登錄IDaaS管理控制臺。在 頁簽,單擊已創建的實例ID。
同步釘釘數據。
在左側導航欄,選擇
。在機構及組頁面,單擊配置釘釘同步。
在右側釘釘同步配置面板,單擊新建配置。
請參考如下表格說明設置相關參數,然后單擊保存。
配置項
說明
示例值
名稱
釘釘同步配置的名稱。支持中文、大小寫字母、數字。
SASEtest
corpld
CorpID從釘釘開放平臺上首頁獲取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appKey
appKey從釘釘開放平臺上目標應用的憑證與基礎信息頁面獲取。
ding191d0eb30a8aadf2ee0f45d8e4f7****
appSecret
appSecret從釘釘開放平臺上目標應用的憑證與基礎信息頁面獲取。
7G2uP_iIvyQ8L4phZ1neu1bKpPQZT4B_s3xFD_EChpxJscqGiOopPIYuWXI5****
是否啟用
您需要設置為啟用狀態,否則將無法同步釘釘數據。
啟用
郵箱字段
指定作為主郵箱的郵箱。
個人郵箱
默認密碼
用于登錄IDaaS平臺的默認密碼。
重要設置的密碼需符合當前的密碼策略,否則無法同步釘釘數據。
****
在機構及組頁面,單擊
。選擇目標釘釘應用,單擊右側導入。然后單擊確定導入。
對釘釘數據授予訪問SAML應用的權限。
在左側導航欄,選擇
。在應用授權主體頁簽的左側應用區域,單擊創建的應用,在右側賬戶頁簽,選中創建的賬戶,然后單擊確定。
步驟五:建立SASE與IDaaS的連接
將釘釘數據同步到IDaaS后,您需要建立SASE與IDaaS的連接,才能使用SASE對釘釘用戶的訪問權限進行管控。關于建立連接的具體操作,請參見通過辦公安全平臺保障IDaaS(舊版)用戶安全訪問。
當您建立SASE與IDaaS的連接后,您可以使用釘釘掃描二維碼的方式登錄SASE,不需要使用賬號和密碼登錄了。