(一)概述
本文将详细讲解aTrust对接钉钉认证服务器,实现用户使用钉钉扫码登录,和在钉钉软件/app上访问应用。
钉钉认证的使用的细分场景主要包含有四种,分别是仅在钉钉客户端访问应用、仅通过钉钉扫码登录aTrust访问应用和任意方式。四种细分场景的具体使用说明,具体可查看如下。
1)仅在钉钉客户端访问应用;
如果只需要实现用户在钉钉APP内(PC端和移动端APP都支持)访问H5应用,而不需要使用钉钉app扫码登录aTrust,那么可以使用该场景。
2)仅通过钉钉扫码登录aTrust访问H5应用;
如果只需要实现用户使用钉钉app扫码登录aTrust(PC扫码登录),进而PC端访问应用,而不需要使用钉钉app访问H5应用,那么可以使用该场景。
3)钉钉app拉起迷你Connect app单点登录(隧道应用访问)。
移动办公的普及,客户对移动端办公的需求越来越强烈。作为企业的安全管理员,希望将公司的业务服务器收缩到内网,通过aTrust中间层网关代理访问。零信任aTrust可通过miniconnect app配合钉钉客户端与代理网关的隧道连通,实现用户单点登录并访问内网IP地址和域名应用。
4)以上全部使用的场景。
(二)配置准备
2.1. 钉钉认证准备
经过章节1.概述可知aTrust对接钉钉有多种细分使用场景,本文章只对“场景4:任意方式”进行说明,其余的两种场景方式配置相同。
在aTrust对接钉钉认证前,我们需要对现有环境进行准备和验证,包括如下。
1)管理员登录控制中心(或综合网关)的webconsole页面,检测控制中心(或综合网关)与钉钉服务器的网络联通性;
2)对接钉钉认证和发布WEB应用时,需准备域名,检查域名的解析是否正确。
3)在钉钉中创建扫码应用,设置应用主页为应用前端访问地址,获取应用的AppKey、AppSecret和Agentld;从首页获取CorpID;创建扫码登录应用 并获取其appId、appSecret;
4)配置钉钉用户目录,同步企业钉钉的用户信息至aTrust本地。配置钉钉认证服务器,勾选<钉钉APP拉起MiniConnect APP单点登录(适用于隧道应用)>完成认证配置和用户目录绑定。
2.1.1.网络验证
管理员登录aTrust控制中心(或综合网关),进入[系统管理/系统运维/webconsole]使用ping/telnet命令检查与钉钉的网络联通性。
2.1.2.域名验证
aTrust对接钉钉认证,和发布H5应用,需要客户提前准备好域名,具体要求如下。
|
部署模式 |
要求 |
说明 |
|
分离式部署 |
申请一个单域名和泛域名,及其证书 |
1、单域名用于用户portal接入,解析至控制中心 2、泛域名用于用户访问web应用,解析至代理网关 |
|
综合网关部署 |
申请一个泛域名,及其证书 |
泛域名解析至综合网关地址 |
:
建议客户使用域名和证书,不使用域名有被钉钉平台封闭的可能。
如果客户只使用钉钉做扫码认证登录aTrust,然后仅在PC端使用浏览器访问WEB应用和隧道应用,可不需要使用域名,使用IP地址也能实现。
2.1.3.客户端接入地址配置
客户提供域名后,我们需要登录aTrust控制中心(或综合网关)控制台,进[系统管理/系统设置/通用配置]-客户端接入设置,配置接入地址。
2.1.4.钉钉配置信息准备
• 获取appId和appSecret
步骤1.客户在PC端浏览器输入域名https://open-dev.dingtalk.com/v1#/登录钉钉开放平台,点击<应用开发>进入开发平台;
步骤2.在导航栏[移动接入应用/登录]点击<登录>进入扫码登录应用页面。
步骤3. 点击<创建扫码或登录应用授权>,为aTrust登录创建一个扫码登录的应用,用于实现对接钉钉认证平台后可扫码登录aTrust平台。完成登录应用的配置,包括名称、描述、授权LOGO地址和回调域名。
其中名称和描述根据实际情况进行填写,授权LOGO地址和回调域名具体说明如下。
授权LOGO地址:钉钉平台登录验证通过后,获取应用logo的地址。客户如果有单独获取LOGO的地址,根据实际情况填写,如果没有可与回调域名填写一样的信息。
回调域名:用户完成钉钉平台的验证后,需要将认证信息返回给aTrust平台,具体的域名格式:https://客户端接入地址:port/passport/v1/auth/dingdingQrcode。
步骤4.完成步骤3后,点击<确定>完成应用配置。配置完成后,获取appId和appSecret信息。
appId:
dingoar706vdmwe8zbufis
appSecret:
K6KzXbg4z6aDhV2gCNJ57K6tzSlbJrpPfYyH3dbfh3wXec1EXY9vEEwkSrzjgd3P
• 获取AppKey和AppSecret
步骤1.客户在PC端浏览器输入域名https://open-dev.dingtalk.com/v1#/登录钉钉开放平台,点击<应用开发>进入开发平台;
步骤2.在导航栏点击<H5微应用>进入H5微应用配置页面,点击<创建应用>完成应用的基础配置。
步骤3.完成步骤2后,记录应用的AppKey和AppSecret信息,具体如下。
AgentId:
1284762681
AppKey:
dingllwo4ssrl23ecnph
AppSecret:
3sEhGg6KBfrE4ynoxzZTYdV90eFR9AZJ23_Uj5iUphySy6SmwfmhWIvE_y7r9VRA
步骤4.在应用的导航栏上,进入[开发管理]点击<修改>配置服务器的出口IP和应用首页地址,完成配置后,点击<保存>完成开发管理的配置。
出口IP地址:此处填写控制中心(或综合网关)出口访问互联网的IP地址,地址的填写可填写具体的IP地址如218.76.8.43,或不明细地址218.76.8.*。
应用首页地址:此处填写aTrust设备的客户端接入地址。
步骤5.在应用的导航栏上,进入[权限管理]点击<添加接口权限>选择通讯录的相关权限,点击<确认>完成配置。
步骤6.在应用的导航栏上,进入[版本管理与发布]点击<确认发布>完成应用的发布,发布后用户即拥有该应用的访问权限。
步骤7.完成步骤6后,进入应用的可使用范围选择,点击选择<全部员工>。
步骤8.在钉钉开发者后台首页,获取企业的corpId。
(三)配置步骤
3.1. 用户目录配置
aTrust可以直接获取钉钉认证平台的用户目录,所以可以创建一个钉钉用户目录,用于关联钉钉认证服务器,具体配置参考章节<5.1.2.4钉钉用户导入>。
:
对接钉钉用户目录后,如不将钉钉用户组织架构及用户导入到设备本地,则认证服务器的用户只能使用钉钉目录的默认授权对用户进行授权。
3.2. 配置钉钉认证
本章节将详细介绍aTrust对接钉钉的配置,管理员登录控制中心(或综合网关)控制台。
• 进入[业务管理/认证管理/认证服务器]点击<新增>,主认证服务器选择钉钉认证
• 如果钉钉认证特性没有开启会弹窗提醒先开启此特性功能,如图,点击确定开启特性即可进入钉钉认证配置页面。
3.2.1.基本信息配置
进入钉钉认证配置页面,完成基本信息的配置。基本信息,填写好钉钉认证服务器名称和描述等。
3.2.2.认证配置
认证配置用户获取钉钉认证登录的code授权码相关信息,需配置appId和appSecret信息,具体的信息获取请参考从前面的“准备工作”中所获取的appId和appSecret。
3.2.3.获取access_token配置
认证配置用户获取钉钉认证登录的access_token相关信息,需配置AppKey和AppSecret信息,具体的信息获取请参考“准备工作”中获取AppKey和AppSecret的步骤。
服务器地址选择设备默认地址,同时配置使用场景全勾上。
3.2.4.响应字段解析
在对接标准的钉钉认证服务器时,我们可直接选择默认的响应字段解析信息,不需要做任何的信息更改。
当钉钉认证服务器有字段更改时,我们的响应解析字段才做同步更改。
3.2.5.用户源设置
点击,选择前面配置的钉钉用户目录“钉钉”。
3.2.6.完成钉钉配置
完成上述章节配置后,点击<保存>完成钉钉认证配置。
可在[业务管理/认证管理/认证服务器]查看到配置的钉钉认证服务器。
3.3. 钉钉扫码认证
钉钉扫码登录,有两种显示方式。
一种是默认登录方式为本地密码认证,如需使用钉钉认证则需点击钉钉认证的图标,跳转至钉钉认证界面。
另外一种是设置钉钉认证为默认认证方式,输入客户端接入地址后,直接跳转至钉钉认证界面。
下面将详细说明,不同登录门户设置方式,不同的显示。
3.3.1.默认登录方式非钉钉认证
步骤1. 管理员登录控制中心(或综合网关)控制台,进入[系统管理/系统配置/登录门户/门户设置],设置默认登录方式为本地密码认证。
步骤2. 浏览器输入客户端接入地址,显示登录页面。
步骤3. 点击钉钉图标,进入钉钉扫码登录界面,勾选“我已阅读并同意《用户协议》”。
步骤4.手机app扫码登录,进入应用中心页面。此时未给用户授权应用,应用中心无应用显示。
3.3.2.默认登录方式为钉钉认证
步骤1. 管理员登录控制中心(或综合网关)控制台,进入[系统管理/系统配置/登录门户/门户设置],设置默认登录方式为钉钉认证。
步骤2. 浏览器输入客户端接入地址,页面跳转至钉钉扫码登录页面。
步骤3. 手机app扫码登录,进入用户应用中心
在完成钉钉认证对接后,可发布H5微应用。用户在钉钉APP内访问H5微应用,可直接点击访问到对应的应用,对客户无感知。
预置条件
配置指导
步骤1. 控制中心配置web应用
步骤2. 钉钉配置H5微应用
开发管理,配置应用的服务器地址(控制中心出口公网地址)、应用首页地址(web应用的前端访问地址)和PC端首页地址(web应用的前端访问地址)。
权限管理,设置应用的接口权限。
版本管理与发布,将H5微应用进行发布,并设定应用访问控制。
步骤3. 演示效果
完成配置后,可在不同的场景完成操作。
场景一:PC端输入客户端接入地址,选择钉钉认证,可实现扫码认证登录,认证成功后跳转到应用资源页面,访问应用。
场景二:可在移动端和PC端登录企业微信APP,点击该应用进行访问。
PC端钉钉APP访问应用。
移动端钉钉APP访问应用。
建议使用Chrome浏览器访问!
