现在企业微信、阿里钉钉和口袋助理在企业里使用越来越普遍,使用企业微信的用户在企业微信里相当于已经有一套完整的组织结构和认证体系,希望AC可以借助企业微信实现上网的认证。AC提供和企业微信结合认证的方式来完成认证,上网的时候弹出二维码,通过手机微信进行扫码授权,实现认证。在手机端,弹出认证页面,直接拉起微信进行授权认证。
Oauth2.0认证方式的应用,AC内置OA账号认证支持企业微信、阿里钉钉和口袋助理三种认证方式。
企业微信参数配置流程:
登录企业微信管理后台;
选择“我的企业”,获得企业ID,填入appid栏;
选择“应用与小程序”;
获取AgentId、secret,分别填入企业id,appsecret。
步骤1.配置开发者平台, 登录企业微信管理后台:
步骤2.选择“我的企业”,获取企业ID,填入AC设备认证服务器的AppID栏。
步骤3.选择“应用与小程序”,自建中点击“创建应用”,应用名称填“我要上网”。
步骤3.点击进入“我要上网”。
步骤5.获取AgentId、secret分别填入AC设备认证服务器的企业id栏和Appsecret栏。
步骤6.点击进入“网页授权及JS-SDK”,填入“oauthservice.net”。
步骤7.启用“企业微信授权登录”,填入授权回调域名“oauthservice.net”。
步骤8.启用“工作台应用主页”,填入:
https://open.weixin.qq.com/connect/oauth2/authorize?appid=ww9c6d66e15efc420c&redirect_uri=http%3A%2F%2Foauthservice.net%2Fac_portal%2Foauth_callback.html&response_type=code&scope=snsapi_base&state=qywechat-#wechat_redirect ; 其中AppID替换为步骤1获取的AppID。
步骤9.勾选“在微工作台中始终进入主页”。
步骤10.企业微信配置参数获取完成,在[接入认证/认证服务器],点击<新增>[OA账号认证/企业微信],勾选启用,填写名称、描述。
步骤11.对接参数设置根据前面步骤获取填入。
步骤12.在[接入管理/接入认证/portal认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的企业微信服务器,点击<提交>,完成配置。
步骤13.效果呈现:PC端效果,点击认证方式图标。
步骤14.手机端跳转到二维码扫描页面,使用手机企业微信扫描二维码(手机不必要接入网络)。
步骤15.手机企业微信扫码认证后,跳转到访问前页面。
步骤16.在[全网监控/入网管理]可看大片在线用户列表。
移动端效果:手机接入wifi后,用浏览器打开一个页面,重定向到认证页面,点击企业微信认证,跳转到登录失败页面,并提醒在企业微信客户端内完成认证。
手动进入企业微信App,点击下方导航栏的“工作台”,拉倒最下面,看到“我要上网”点击,完成认证。完成后,可以上网。
钉钉认证配置流程:
阿里钉钉认证开发平者平台配置;
AC认证配置;
效果演示。
配置步骤
登录首页获取企业ID信息。
2.在“应用开发”标签下进入“移动应用接入”,点击“登录”;创建扫码登录认证授权。
3.名称:自定义,例如AC上网认证,描述:自定义,例如AC上网认证。
授权LOGO地址:无特殊作用,可以任意填写,https://img.com
回调域名:AC设备的钉钉认证回调地址, http://oauthservice.net/ac_portal/oauth_callback.html
4.创建成功。
收集钉钉上的appID和appSecret,该信息主要用于AC认证的回调。本例中:
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
5.在“应用开发”标签下进入“企业内部开发”,点击“H5微应用”;创建AC对接授权
应用名称:自定义,例如AC对接授权
应用描述:自定义,例如AC对接授权
开发方式:企业自助开发
6.创建H5微应用成功后,点击应用,在应用的“凭证与基本信息”->“应用凭证”中收集应用的appkey、appsecret,本例中:
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
7.在H5微应用中,“开发管理”设置上网行为管理的互联网出口地址。
开发模式:开发应用
服务器出口IP:该地址为AC设备自身出去上网的互联网IP地址
应用首页地址:自定义,例如https://www.dingtalk.com
8.在H5微应用配置AC用户认证的范围和用户认证所需的权限,在“权限管理”模块,添加接口权限,需要新增:通讯录只读和通信录编辑权限,邮箱等信息可选。
如上步骤整理完成之后收集信息如下,配置到AC设备钉钉对接认证模块即可:
CorpId:dingf8e689809c2fc7a44ac5d6980864d335
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
9.认证服务器配置:只需要填写appid、appsecret参数和企业ID;如果有获取组织结构需求,勾选“自动获取用户所属组”配置起始路径、appkey和appsecret。
10.在[用户认证与管理/用户认证/认证策略],新增认证策略,填写认证范围,引用配置好的阿里钉钉认证服务器。
注意事项:钉钉认证属于第三方认证,用户以oauth认证方式上线,默认以钉钉的用户名为登录名,钉钉的用户名和本地用户的登录名不能发生冲突。
11.[接入管理/接入认证/portal认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的阿里钉钉认证服务器,点击<提交>,完成配置。
12.效果呈现:PC端效果:点击认证方式图标。
13.使用手机阿里钉钉扫描二维码登录(手机不必须要接入网络)。
14.手机钉钉扫二维码完成认证,跳转到访问前页面。
15.移动端效果:手机接入WIFI后,用浏览器打开一个页面,重定向到认证页面,点击钉钉认证,唤起阿里钉钉app,在app完成登录后,完成认证。
16.完成认证后,在线用户列表看到上线情况。
口袋助理未提供对外的开发者平台,有认证需求联系深信服售后400或区域获取参数;
在AC上配置OA账号认证服务器,服务器参数需在第三方平台注册授权应用获取,禁用自动获取用户所属组;
2.对口袋助理的登录域名加入全局排除地址(认证前流量未放通)。
3.认证过程:根据认证策略配置,认证页面提供OA账号认证方式供用户选择。
4.用户选择认证方式后,跳转到OA账号认证页面完成认证。
5.认证完成后认证平台会通过在平台填写的URL参数回调给AC,AC可获取用户在第三方平台的认证信息,在AC上登录上线。
6.认证后效果:在线用户所属组即[认证策略/认证后处理/非本地/域用户使用该组上线]配置的组。
7.移动端效果:口袋助理与另外两个不同的是不需要拉起app,浏览器访问网页点口袋助理认证图标跳转到口袋助理登录页面,输入手机号和密码即可完成认证。
建议使用Chrome浏览器访问!
