零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","企业微信消息网关")}}

企业微信消息网关

更新时间:2023-06-15

7.2.5.4.1.配置准备

企业微信服务器连通性验证

管理员登录aTrust控制中心(或综合网关),进入[系统管理/系统运维/webconsole]使用pingtelnet命令检查企业微信服务器的网络连通性。企业微信服务器默认接口地址为:https://qyapi.weixin.qq.com,如果是企业微信私有化部署则需要向管理员获取企业微信服务器接口地址。

如果连通性验证不通过,则需要检查设备DNS配置和客户网络,确保域名解析正常和网络通信正常。

配置客户端接入域名

企业微信上的微应用与atrust对接,需要校验客户端接入域名,因此需要先配置好客户端接入域名,需要保证域名和端口在公网可被访问。

企业微信消息应用配置

通过企业微信推送消息,需要管理员准备一个用于接收消息的微应用,并做好相应的对接配置,配置企业微信消息网关需要获取企业微信的企业IDCorpID),接收消息应用的SecretAgentid

1、在实际项目中,我们可提醒客户提前创建好接收消息的微应用,获取相关信息。

2、如果已经使用企业微信认证或者创建企业微信用户目录,可以复用认证对接/用户目录对接的应用,具体以客户实际情况为准

    

获取企业CorpID

步骤5.客户在PC端浏览器输入域名https://work.weixin.qq.com登录企业微信开放平台,打开页面后点击企业登陆,管理员扫码登录企业微信控制台。

步骤6.在导航栏中选择[我的企业],进入企业信息详情。页面拉取到最下面,可看到企业ID信息,获取企业的CorpID信息并记录。

CorpID:wwc741c4XXX22cfcf9

(此处仅为示例,文档不记录真实CorpID)

获取授权应用Secret和授权应用AgentId

步骤1.在导航栏中选择[应用管理],进入应用管理页面。页面拉取到最下面,在[自建]应用处,点击<创建应用>新建消息网关应用。

步骤2.上传应用的logo图片,并配置应用名称和应用介绍。同时选择应用对用户的可见范围,建议选择全部人员。

步骤3.点击<创建应用>,进入应用配置详情页。可在应用详情页面获取应用的SecretAgentId,其中Secret需点击<查看>后在手企业微信APP上获取,具体信息如下。

Secret的获取:点击<查看>后在手机appPC端的企业微信软件上获取。

获取的具体Secret信息,并记录。

AgentId1000006

Secret  0uceknCxhGHqUXXXXXXXMbfJah2R-mFWuMbQ_vvFk

(此处仅为示例,文档不记录真实secret)

配置可信域名

步骤1. 在应用设置中找到[网页授权及JS-SDK],点击设置可信域名,填入2.2.配置好的客户端接入域名。

步骤2. 点击申请域名校验,下载域名校验文件;

步骤3. aTrust设备上配置可信域名校验,在[业务管理/认证管理/认证服务器]新增/编辑企业微信认证服务器,在使用场景中勾选【企业微信APP拉起MiniConnect APP单点登录】,点击【配置可信域名】。

 注意:新建/编辑企业微信认证服务器只用于校验可信域名,如果不需要用到企业微信认证,可信域名校验完后,取消配置接口,无需保存此配置。

步骤4. 将步骤2中下载的可信域名校验文件的文件名和文件内容配置上去点击确定即可。

确定后手动在浏览器输入https://客户端接入域名:端口/校验文件名.txt 测试是否生效,如图所示可以正常访问到文件内的内容则为上传成功。若返回404则说明上传失败或者配置错误,请仔细检查配置的文件名和内容。

步骤5. 在企业微信后台上应用配置可信域名的界面点击确定,完成可信域名校验。

配置企业可信IP

企业微信在和aTrust对接时会校验aTrustIP是否可信,在应用设置中找到[企业可信IP],点击设配置,将aTrust控制中心/综合网关出去上网的公网IP填到可信IP列表中,出口有多个公网IP则将所有公网IP都配置上去。

7.2.5.4.2.企业微信消息网关配置

[系统管理/系统配置/短信网关]新增短信网关,配置好名称等基本信息。

服务器配置

服务器配置各项配置说明如下:

配置项

内容

网关类型

企业微信消息网关

验证码发送标识

用户名或者手机号码

服务器地址

默认是https://qyapi.weixin.qq.com,可根据实际情况修改,如私有化企业微信需要客户提供服务器地址

CorpID

根据章节7.2.5.4.1可获取

授权应用Secret

根据章节7.2.5.4.1可获取

授权应用AgentId

根据章节7.2.5.4.1可获取

注意:

1、当用户或手机号码在企业微信上不存在时,无法通过企业微信消息网关发送消息。因此企业微信消息网关一般是配合企业微信用户目录进行使用。

2、验证码发送标识选择用户名时不支持向管理员发送消息。

用户消息模板配置

 章节1中提到企业微信消息网关主要用途是发送验证码、发送上线风险通知、分发SPA安全码,针对三种用途需要分别设置好对应的消息模板,如图所示:

发送测试

 1)针对三种消息用途,可以分别发送消息测试,填入企业微信userid即可发送测试。

 2)在企业微信上查收测试消息。

4)如果测试消息发送失败,可以查看详情进行排错

response信息中奖企业微信返回的错误码信息复制出来,在浏览器中访问查看错误码详情。如图,由此可知此次发送失败原因可能是UserID错误。

常见的错误有:userid错误、secret错误、agentid错误、服务器连接失败、不安全的访问ip(可信ip错误)等,具体根据返回的错误码进行分析即可。