【2022争霸赛*干货满满】零信任对接企业微信配置案例
  

高进 64736人觉得有帮助

{{ttag.title}}
本帖最后由 高进 于 2022-10-27 17:56 编辑

需求目的:aTrust对接企业微信,实现用户使用企业微信扫码登录零信任系统、以及在企业微信的PC端和移动app上访问零信任应用(企业微信直接访问,无需零信任重复认证,以下对接好后就行)。

大致配置思路:
1、企业微信创建应用,获取参数,用来对接零信任用的
2、零信任开启特性中心的企业微信认证、创建企业微信目录、创建企业微信认证服务器
3、零信任同步企业微信用户、授权应用
4、企业微信创建应用(访问地址写零信任发布的应用)
5、访问测试

一、零信任对接企业微信前需要准备
1、登录控制中心的 webconsole 页面,检查和企业微信服务器的网络联通性;使用ping/telnet命令检open.weixin.qq.com网络联通性。
2、对接企业微信认证需准备域名(必须分配个域名给零信任做客户端接入地址,企业微信要求的需要可信域名,不然企业微信这货不认),然后将域名配置到零信任客户端接入地址,然后测试公网访问看能不能到零信任登录界面。
PS:让客户把域名解析到出口设备的公网地址,出口设备再映射到零信任控制中心443。零信任记得也导入下分配过来的域名证书-------公网域名是客户的,不是我们给他们的,这玩意要买的,正经单位外网业务大部分都有域名的,分一个过来用就完事了。
将分配给零信任的域名的证书,上传到设备。直接更新就行了(不放心先下载设备证书备份)


二、企业微信配置
ps:需要客户企业微信管理员配合
1、管理员登录企业微信控制台
在导航栏中选择[我的企业],进入企业信息详情。页面拉取到最下面,可看到企业ID信息,获取企业的CorpID信息。


2、创建个应用
在导航栏中选择[应用管理],进入应用管理页面。页面拉取到最下面,在[第三方]应用处,点击<创建应用>新建零信任认证应用(名字随便起,一般我是配置为:零信任对接,客户其他管理员一眼就看出来这玩意干啥用了。
然后上传应用的logo图片,并配置应用名称和应用介绍。同时选择应用对用户的可见范围,建议选择全部人员

3、在该应用配置页面,将页面拉取到最下面的开发者接口,配置“网页授权及JS-SDK”配置将客户端接入地址设置为企业微信的可信域名。
ps:这里的可信域名不是域名不认,所以前面才说必须要公网的域名。温馨提示:记得加端口哟,443也要加。
上面图片有个校验域名,点一下,然后下载文件,把文件名字和内容拷贝到零信任对接企业微信哪个配置里面。零信任先保存,这里才会通过校验-------可以的话就双开网页,登录企业微信直接复制参数到零信任

4、完成可信域名设置后,在开发者接口处设置[企业微信授权登录],配置用户在移动端的扫码登录。
授权回调域,配置为客户端接入地址域名。


5、获取信息
在企业微信中[应用管理/应用/自建]选择刚创建的应用,可以获取授权应用Secret、授权应用Agentid;在[我的企业/企业信息]中获取企业ID----记录好,待会要在零信任配置用的


[管理工具/通讯录同步]中获取用户信息Secret信息
ps:在获取Secret时,点击发送,然后管理员账号会收到,让他复制给我们即可

此时上面总共有4个参数,收集好
企业微信:企业CorpID = 零信任:CorpID
企业微信:AgentId = 零信任:授权应用Secret
企业微信:secret = 零信任:授权应用AgentId
企业微信(通讯录):secret = 零信任(用户源):获取用户信息Secret
------------------
三、零信任配置
1、控制台的[系统管理/特性中心]中启用企业微信认证

2、进入[业务管理/用户管理]点击<新增>配置企业微信用户目录。


3、[业务管理/认证管理/新增认证服务器]中新增企业微信认证
ps:如果这里没有企业微信认证的,先到系统设置,特性中心,开启企业微信认证(默认没开启)


4、填写获取到的CorpID、授权应用Secret、授权应用Agentid


5、同步企业微信用户到零信任本地用户目录

点击导入

选择将要导入的用户组或者单个用户


6、企业微信的认证策略

根据需要选择是否需要二次认证(totp令牌免费的,谷歌、微软的都可以,手机下个软件就行)

7、零信任授权企业微信用户访问应用
ps:针对组,针对个人用户进行授权都可以,将需要的应用关联给企业微信用户
做完以上,已经可以通过企业微信扫码登录零信任了
-------------------------------
接下来的是要让企业微信内部的应用,也直接能够访问零信任H5应用
8、企业微信管理后台,创建和发布相对应的H5微应用,并授权给用户

点击<创建应用>,进入应用的配置页面。在应用配置页面点击<应用主页>配置应用的访问地址,此处填写在aTrust上发布的WEB应用前端访问地址(WEB资源,也是必须域名,零信任的WEB资源怎么创建就不演示了)
<确定>完成应用的发布和授权

9、企业微信访问效果
PC端,可以直接用企业微信扫码登录
企业微信内可以直接打开零信任发布的应用,不需要认证
手机端企业微信也能直接打开

注意事项:如果遇到零信任接入地址和WEB资源域名相同
比如:https://aaa.com是WEB资源用的,那零信任接入地址就不能是https://aaa.com:1443端口区分这种。
零信任接入地址和WEB资源域名不能完全相同,但可以用二级域名,比如https://vpn.aaa.com这样



打赏鼓励作者,期待更多好文!

打赏
2人已打赏

新手430465 发表于 2022-10-17 15:11
  
你好,配置好VPN后,在企业微信可信域名校验不通过,如下图:

提示文件需上传至根目录,需怎么上传vpn服务器,这个文件只能上传至VPN服务器,求解答。
一个无趣的人 发表于 2022-11-3 09:49
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
MrWang828 发表于 2023-1-31 11:45
  

感谢分享,有助于工作,学习了!!!
飞飞飞 发表于 2023-3-23 15:02
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
小德 发表于 2023-4-14 21:20
  
感谢楼主分享,学习一下
蔺嘉宾 发表于 2023-4-14 21:20
  
感谢楼主分享,学习一下
梦境人生 发表于 2023-4-14 21:20
  
感谢楼主分享,学习一下
唐三平 发表于 2023-4-14 21:20
  
感谢楼主分享,学习一下
德德 发表于 2023-4-14 21:27
  
感谢楼主分享,学习一下
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

25
14
5

发帖

粉丝

关注

本版达人