零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","钉钉认证")}}

钉钉认证

更新时间:2023-06-15

(一)概述

本文将详细讲解aTrust对接钉钉认证服务器,实现用户使用钉钉扫码登录,和在钉钉软件/app上访问应用。

钉钉认证的使用的细分场景主要包含有四种,分别是仅在钉钉客户端访问应用、仅通过钉钉扫码登录aTrust访问应用和任意方式。四种细分场景的具体使用说明,具体可查看如下。

1)仅在钉钉客户端访问应用;

如果只需要实现用户在钉钉APP内(PC端和移动端APP都支持)访问H5应用,而不需要使用钉钉app扫码登录aTrust,那么可以使用该场景。

2)仅通过钉钉扫码登录aTrust访问H5应用;

如果只需要实现用户使用钉钉app扫码登录aTrustPC扫码登录),进而PC端访问应用,而不需要使用钉钉app访问H5应用,那么可以使用该场景。

3)钉钉app拉起迷你Connect app单点登录(隧道应用访问)。

移动办公的普及,客户对移动端办公的需求越来越强烈。作为企业的安全管理员,希望将公司的业务服务器收缩到内网,通过aTrust中间层网关代理访问。零信任aTrust可通过miniconnect app配合钉钉客户端与代理网关的隧道连通,实现用户单点登录并访问内网IP地址和域名应用。

4)以上全部使用的场景。

(二)配置准备

2.1. 钉钉认证准备

经过章节1.概述可知aTrust对接钉钉有多种细分使用场景,本文章只对“场景4:任意方式”进行说明,其余的两种场景方式配置相同。

aTrust对接钉钉认证前,我们需要对现有环境进行准备和验证,包括如下。

1)管理员登录控制中心(或综合网关)的webconsole页面,检测控制中心(或综合网关)与钉钉服务器的网络联通性;

2)对接钉钉认证和发布WEB应用时,需准备域名,检查域名的解析是否正确。

3)在钉钉中创建扫码应用,设置应用主页为应用前端访问地址,获取应用的AppKeyAppSecretAgentld;从首页获取CorpID;创建扫码登录应用 并获取其appIdappSecret

4)配置钉钉用户目录,同步企业钉钉的用户信息至aTrust本地。配置钉钉认证服务器,勾选<钉钉APP拉起MiniConnect APP单点登录(适用于隧道应用)>完成认证配置和用户目录绑定。

2.1.1.网络验证

管理员登录aTrust控制中心(或综合网关),进入[系统管理/系统运维/webconsole]使用ping/telnet命令检查与钉钉的网络联通性。

2.1.2.域名验证

aTrust对接钉钉认证,和发布H5应用,需要客户提前准备好域名,具体要求如下。

部署模式

要求

说明

分离式部署

申请一个单域名和泛域名,及其证书

1、单域名用于用户portal接入,解析至控制中心

2、泛域名用于用户访问web应用,解析至代理网关

综合网关部署

申请一个泛域名,及其证书

泛域名解析至综合网关地址

建议客户使用域名和证书,不使用域名有被钉钉平台封闭的可能。

如果客户只使用钉钉做扫码认证登录aTrust,然后仅在PC端使用浏览器访问WEB应用和隧道应用,可不需要使用域名,使用IP地址也能实现。

2.1.3.客户端接入地址配置

客户提供域名后,我们需要登录aTrust控制中心(或综合网关)控制台,进[系统管理/系统设置/通用配置]-客户端接入设置,配置接入地址。

2.1.4.钉钉配置信息准备

获取appIdappSecret

步骤1.客户在PC端浏览器输入域名https://open-dev.dingtalk.com/v1#/登录钉钉开放平台,点击<应用开发>进入开发平台;

步骤2.在导航栏[移动接入应用/登录]点击<登录>进入扫码登录应用页面。

步骤3. 点击<创建扫码或登录应用授权>,为aTrust登录创建一个扫码登录的应用,用于实现对接钉钉认证平台后可扫码登录aTrust平台。完成登录应用的配置,包括名称、描述、授权LOGO地址和回调域名。

其中名称和描述根据实际情况进行填写,授权LOGO地址和回调域名具体说明如下。

授权LOGO地址:钉钉平台登录验证通过后,获取应用logo的地址。客户如果有单独获取LOGO的地址,根据实际情况填写,如果没有可与回调域名填写一样的信息。

回调域名:用户完成钉钉平台的验证后,需要将认证信息返回给aTrust平台,具体的域名格式:https://客户端接入地址:port/passport/v1/auth/dingdingQrcode

步骤4.完成步骤3后,点击<确定>完成应用配置。配置完成后,获取appIdappSecret信息。

appId

dingoar706vdmwe8zbufis

appSecret

K6KzXbg4z6aDhV2gCNJ57K6tzSlbJrpPfYyH3dbfh3wXec1EXY9vEEwkSrzjgd3P

获取AppKeyAppSecret

步骤1.客户在PC端浏览器输入域名https://open-dev.dingtalk.com/v1#/登录钉钉开放平台,点击<应用开发>进入开发平台;

步骤2.在导航栏点击<H5微应用>进入H5微应用配置页面,点击<创建应用>完成应用的基础配置。

步骤3.完成步骤2后,记录应用的AppKeyAppSecret信息,具体如下。

AgentId

1284762681

AppKey

dingllwo4ssrl23ecnph

AppSecret

3sEhGg6KBfrE4ynoxzZTYdV90eFR9AZJ23_Uj5iUphySy6SmwfmhWIvE_y7r9VRA

步骤4.在应用的导航栏上,进入[开发管理]点击<修改>配置服务器的出口IP和应用首页地址,完成配置后,点击<保存>完成开发管理的配置。

出口IP地址:此处填写控制中心(或综合网关)出口访问互联网的IP地址,地址的填写可填写具体的IP地址如218.76.8.43,或不明细地址218.76.8.*

应用首页地址:此处填写aTrust设备的客户端接入地址。

步骤5.在应用的导航栏上,进入[权限管理]点击<添加接口权限>选择通讯录的相关权限,点击<确认>完成配置。

步骤6.在应用的导航栏上,进入[版本管理与发布]点击<确认发布>完成应用的发布,发布后用户即拥有该应用的访问权限。

步骤7.完成步骤6后,进入应用的可使用范围选择,点击选择<全部员工>

步骤8.在钉钉开发者后台首页,获取企业的corpId

(三)配置步骤

3.1. 用户目录配置

aTrust可以直接获取钉钉认证平台的用户目录,所以可以创建一个钉钉用户目录,用于关联钉钉认证服务器,具体配置参考章节<5.1.2.4钉钉用户导入>

对接钉钉用户目录后,如不将钉钉用户组织架构及用户导入到设备本地,则认证服务器的用户只能使用钉钉目录的默认授权对用户进行授权。

3.2. 配置钉钉认证

本章节将详细介绍aTrust对接钉钉的配置,管理员登录控制中心(或综合网关)控制台。

进入[业务管理/认证管理/认证服务器]点击<新增>,主认证服务器选择钉钉认证

如果钉钉认证特性没有开启会弹窗提醒先开启此特性功能,如图,点击确定开启特性即可进入钉钉认证配置页面。

3.2.1.基本信息配置

进入钉钉认证配置页面,完成基本信息的配置。基本信息,填写好钉钉认证服务器名称和描述等。

3.2.2.认证配置

认证配置用户获取钉钉认证登录的code授权码相关信息,需配置appIdappSecret信息,具体的信息获取请参考从前面的“准备工作”中所获取的appIdappSecret

3.2.3.获取access_token配置

认证配置用户获取钉钉认证登录的access_token相关信息,需配置AppKeyAppSecret信息,具体的信息获取请参考“准备工作”中获取AppKeyAppSecret的步骤。

服务器地址选择设备默认地址,同时配置使用场景全勾上。

3.2.4.响应字段解析

在对接标准的钉钉认证服务器时,我们可直接选择默认的响应字段解析信息,不需要做任何的信息更改。

当钉钉认证服务器有字段更改时,我们的响应解析字段才做同步更改。

3.2.5.用户源设置

点击,选择前面配置的钉钉用户目录“钉钉”。

3.2.6.完成钉钉配置

完成上述章节配置后,点击<保存>完成钉钉认证配置。

可在[业务管理/认证管理/认证服务器]查看到配置的钉钉认证服务器。

3.3. 钉钉扫码认证

钉钉扫码登录,有两种显示方式。

一种是默认登录方式为本地密码认证,如需使用钉钉认证则需点击钉钉认证的图标,跳转至钉钉认证界面。

另外一种是设置钉钉认证为默认认证方式,输入客户端接入地址后,直接跳转至钉钉认证界面。

下面将详细说明,不同登录门户设置方式,不同的显示。

3.3.1.默认登录方式非钉钉认证

步骤1. 管理员登录控制中心(或综合网关)控制台,进入[系统管理/系统配置/登录门户/门户设置],设置默认登录方式为本地密码认证。

步骤2. 浏览器输入客户端接入地址,显示登录页面。

步骤3. 点击钉钉图标,进入钉钉扫码登录界面,勾选“我已阅读并同意《用户协议》”。

步骤4.手机app扫码登录,进入应用中心页面。此时未给用户授权应用,应用中心无应用显示。

3.3.2.默认登录方式为钉钉认证

步骤1. 管理员登录控制中心(或综合网关)控制台,进入[系统管理/系统配置/登录门户/门户设置],设置默认登录方式为钉钉认证。

步骤2. 浏览器输入客户端接入地址,页面跳转至钉钉扫码登录页面。

步骤3. 手机app扫码登录,进入用户应用中心