企业微信消息网关-零信任访问控制系统aTrust-深信服技术支持

企业微信消息网关

更新时间：2023-06-15

7.2.5.4.1.配置准备

企业微信服务器连通性验证

管理员登录aTrust控制中心（或综合网关），进入[系统管理/系统运维/webconsole]使用ping和telnet命令检查企业微信服务器的网络连通性。企业微信服务器默认接口地址为：https://qyapi.weixin.qq.com，如果是企业微信私有化部署则需要向管理员获取企业微信服务器接口地址。

如果连通性验证不通过，则需要检查设备DNS配置和客户网络，确保域名解析正常和网络通信正常。

配置客户端接入域名

企业微信上的微应用与atrust对接，需要校验客户端接入域名，因此需要先配置好客户端接入域名，需要保证域名和端口在公网可被访问。

企业微信消息应用配置

通过企业微信推送消息，需要管理员准备一个用于接收消息的微应用，并做好相应的对接配置，配置企业微信消息网关需要获取企业微信的企业ID（CorpID），接收消息应用的Secret和Agentid。

：

1、在实际项目中，我们可提醒客户提前创建好接收消息的微应用，获取相关信息。

2、如果已经使用企业微信认证或者创建企业微信用户目录，可以复用认证对接/用户目录对接的应用，具体以客户实际情况为准。

获取企业CorpID

步骤5.客户在PC端浏览器输入域名https://work.weixin.qq.com登录企业微信开放平台，打开页面后点击企业登陆，管理员扫码登录企业微信控制台。

步骤6.在导航栏中选择[我的企业]，进入企业信息详情。页面拉取到最下面，可看到企业ID信息，获取企业的CorpID信息并记录。

CorpID:wwc741c4XXX22cfcf9

(此处仅为示例，文档不记录真实CorpID)

获取授权应用Secret和授权应用AgentId

步骤1.在导航栏中选择[应用管理]，进入应用管理页面。页面拉取到最下面，在[自建]应用处，点击<创建应用>新建消息网关应用。

步骤2.上传应用的logo图片，并配置应用名称和应用介绍。同时选择应用对用户的可见范围，建议选择全部人员。

步骤3.点击<创建应用>，进入应用配置详情页。可在应用详情页面获取应用的Secret和AgentId，其中Secret需点击<查看>后在手企业微信APP上获取，具体信息如下。

Secret的获取：点击<查看>后在手机app或PC端的企业微信软件上获取。

获取的具体Secret信息，并记录。

AgentId：1000006

Secret： 0uceknCxhGHqUXXXXXXXMbfJah2R-mFWuMbQ_vvFk

(此处仅为示例，文档不记录真实secret)

配置可信域名

步骤1. 在应用设置中找到[网页授权及JS-SDK]，点击设置可信域名，填入2.2.配置好的客户端接入域名。

步骤2. 点击申请域名校验，下载域名校验文件；

步骤3. 在aTrust设备上配置可信域名校验，在[业务管理/认证管理/认证服务器]新增/编辑企业微信认证服务器，在使用场景中勾选【企业微信APP拉起MiniConnect APP单点登录】，点击【配置可信域名】。

注意：新建/编辑企业微信认证服务器只用于校验可信域名，如果不需要用到企业微信认证，可信域名校验完后，取消配置接口，无需保存此配置。

步骤4. 将步骤2中下载的可信域名校验文件的文件名和文件内容配置上去点击确定即可。

确定后手动在浏览器输入https://客户端接入域名:端口/校验文件名.txt 测试是否生效，如图所示可以正常访问到文件内的内容则为上传成功。若返回404则说明上传失败或者配置错误，请仔细检查配置的文件名和内容。

步骤5. 在企业微信后台上应用配置可信域名的界面点击确定，完成可信域名校验。

配置企业可信IP

企业微信在和aTrust对接时会校验aTrust的IP是否可信，在应用设置中找到[企业可信IP]，点击设配置，将aTrust控制中心/综合网关出去上网的公网IP填到可信IP列表中，出口有多个公网IP则将所有公网IP都配置上去。

7.2.5.4.2.企业微信消息网关配置

在[系统管理/系统配置/短信网关]新增短信网关，配置好名称等基本信息。

服务器配置

服务器配置各项配置说明如下：

配置项	内容
网关类型	企业微信消息网关
验证码发送标识	用户名或者手机号码
服务器地址	默认是https://qyapi.weixin.qq.com，可根据实际情况修改，如私有化企业微信需要客户提供服务器地址
CorpID	根据章节7.2.5.4.1可获取
授权应用Secret	根据章节7.2.5.4.1可获取
授权应用AgentId	根据章节7.2.5.4.1可获取