【2022争霸赛*干货满满】零信任对接企业微信配置案例

需求目的：aTrust对接企业微信，实现用户使用企业微信扫码登录零信任系统、以及在企业微信的PC端和移动app上访问零信任应用（企业微信直接访问，无需零信任重复认证，以下对接好后就行）。

大致配置思路：

1、企业微信创建应用，获取参数，用来对接零信任用的

2、零信任开启特性中心的企业微信认证、创建企业微信目录、创建企业微信认证服务器

3、零信任同步企业微信用户、授权应用

4、企业微信创建应用（访问地址写零信任发布的应用）

5、访问测试

一、零信任对接企业微信前需要准备

1、登录控制中心的 webconsole 页面，检查和企业微信服务器的网络联通性；使用ping/telnet命令检open.weixin.qq.com网络联通性。

2、对接企业微信认证需准备域名（必须分配个域名给零信任做客户端接入地址，企业微信要求的需要可信域名，不然企业微信这货不认），然后将域名配置到零信任客户端接入地址，然后测试公网访问看能不能到零信任登录界面。

PS：让客户把域名解析到出口设备的公网地址，出口设备再映射到零信任控制中心443。零信任记得也导入下分配过来的域名证书-------公网域名是客户的，不是我们给他们的，这玩意要买的，正经单位外网业务大部分都有域名的，分一个过来用就完事了。

将分配给零信任的域名的证书，上传到设备。直接更新就行了（不放心先下载设备证书备份）

二、企业微信配置

ps:需要客户企业微信管理员配合

1、管理员登录企业微信控制台

在导航栏中选择[我的企业]，进入企业信息详情。页面拉取到最下面，可看到企业ID信息，获取企业的CorpID信息。

2、创建个应用

在导航栏中选择[应用管理]，进入应用管理页面。页面拉取到最下面，在[第三方]应用处，点击<创建应用>新建零信任认证应用（名字随便起，一般我是配置为：零信任对接，客户其他管理员一眼就看出来这玩意干啥用了。

然后上传应用的logo图片，并配置应用名称和应用介绍。同时选择应用对用户的可见范围，建议选择全部人员

3、在该应用配置页面，将页面拉取到最下面的开发者接口，配置“网页授权及JS-SDK”配置将客户端接入地址设置为企业微信的可信域名。

ps：这里的可信域名不是域名不认，所以前面才说必须要公网的域名。温馨提示：记得加端口哟，443也要加。

上面图片有个校验域名，点一下，然后下载文件，把文件名字和内容拷贝到零信任对接企业微信哪个配置里面。零信任先保存，这里才会通过校验-------可以的话就双开网页，登录企业微信直接复制参数到零信任

4、完成可信域名设置后，在开发者接口处设置[企业微信授权登录]，配置用户在移动端的扫码登录。

授权回调域，配置为客户端接入地址域名。

5、获取信息

在企业微信中[应用管理/应用/自建]选择刚创建的应用，可以获取授权应用Secret、授权应用Agentid；在[我的企业/企业信息]中获取企业ID----记录好，待会要在零信任配置用的

[管理工具/通讯录同步]中获取用户信息Secret信息

ps：在获取Secret时，点击发送，然后管理员账号会收到，让他复制给我们即可

此时上面总共有4个参数，收集好

企业微信：企业CorpID = 零信任：CorpID

企业微信：AgentId = 零信任：授权应用Secret

企业微信：secret = 零信任：授权应用AgentId

企业微信（通讯录）：secret = 零信任（用户源）：获取用户信息Secret

------------------

三、零信任配置

1、控制台的[系统管理/特性中心]中启用企业微信认证

2、进入[业务管理/用户管理]点击<新增>配置企业微信用户目录。

3、[业务管理/认证管理/新增认证服务器]中新增企业微信认证

ps：如果这里没有企业微信认证的，先到系统设置，特性中心，开启企业微信认证（默认没开启）

4、填写获取到的CorpID、授权应用Secret、授权应用Agentid

5、同步企业微信用户到零信任本地用户目录

点击导入

选择将要导入的用户组或者单个用户

6、企业微信的认证策略

根据需要选择是否需要二次认证（totp令牌免费的，谷歌、微软的都可以，手机下个软件就行）

7、零信任授权企业微信用户访问应用

ps：针对组，针对个人用户进行授权都可以,将需要的应用关联给企业微信用户

做完以上，已经可以通过企业微信扫码登录零信任了

-------------------------------

接下来的是要让企业微信内部的应用，也直接能够访问零信任H5应用

8、企业微信管理后台，创建和发布相对应的H5微应用，并授权给用户

点击<创建应用>，进入应用的配置页面。在应用配置页面点击<应用主页>配置应用的访问地址，此处填写在aTrust上发布的WEB应用前端访问地址（WEB资源，也是必须域名，零信任的WEB资源怎么创建就不演示了）

<确定>完成应用的发布和授权

9、企业微信访问效果

PC端，可以直接用企业微信扫码登录

企业微信内可以直接打开零信任发布的应用，不需要认证

手机端企业微信也能直接打开

注意事项：如果遇到零信任接入地址和WEB资源域名相同

比如：https://aaa.com是WEB资源用的，那零信任接入地址就不能是https://aaa.com:1443端口区分这种。

零信任接入地址和WEB资源域名不能完全相同，但可以用二级域名，比如https://vpn.aaa.com这样

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下

感谢楼主分享，学习一下