本帖最后由 不懂就得问 于 2023-12-25 17:56 编辑
Atrust对接钉钉平台实现扫码认证方案 1. 准备工作 完成控制中心和代理网关的部署之后开始进行第三方认证配置,需要满足如下条件 1. aTrust 设备部署成功,在互联网能访问 3. 综合网关的域名与授信 SSL 证书,需要发布应用的域名与 SSL 证书 4. 在钉钉中自建应用获取应用的 AppKey、AppSecret,获取扫码登录的 appId、 appSecret 信息。 2. 证书申请政府部门客户域名和证书由市政府统一管理,分支单位申请证书时间长,流程复杂,测试环境只提供了域名无法提供证书,需要自行申请临时证书进行测试。
1.登录阿里云官网首页,搜索ssl证书。
2.第一次申请有一年的免费证书,用于测试时间完全满足。
3.申请证书,填写域名和相关信息里面带*的地方都必须填写,选择文件验证然后点击下一步。
4.这里会下载一个验证文件,将他拷贝到服务器的.well-known/pki-validation这个目录下面(Windows服务器无法直接创建带点的文件目录,需要进入cmd命令行格式进行创建),最后再点击下面的两个链接查看验证是否能打开文件里面的内容。操作完成之后等待15分钟左右证书就申请通过,然后下载证书。
5.打开下载证书提示很多类型,但是零信任控制中心只支持两种导入pxf、p12格式。
6.所以此次环境下载tomcat类型的证书进行了导入。
7.更新导入更新之后提示相关信息。
3. 钉钉平台对接配置 1. 特性中心查看钉钉功能是否启用(必须启用此功能才会显示钉钉认证然后添加认证服务器)。
2.创建钉钉扫码认证必须填写认证配置和access_token信息,相关信息再企业钉钉平台获取。
3.登录企业钉钉开发者后台,点击企业内部开发。
4.创建一个H5微应用,填写相关名称。
5.完成之后会生成相应的字段码。填写到钉钉认证服务器access_token配置下面。
6.配置开发管理,填写零信任平台映射的出口地址和客户端的接入地址。
7.配置用户的权限管理,测试用户建议开启全部权限。
8.发布应用给对应的员工,发布完成之后可手机端登录钉钉平台在工作台查看是否存在扫码登录接口插件。
10.配置扫码应用登录授权,这里主要设置授权logo地址和回调域名,两处可以配置成一样接口地址,回调域名为外网客户端的接入地址加上后缀.
11.配置完成之后如下图所示,会生成appid和appsecret,填写到认证配置里面。
12.创建资源,填写协助、地址、ip信息。
13.配置用户目录
14配置用户配置认证策略和用户策略,根据客户实际环境需求配置。
15.将新建的应用资源分配给对应的用户
16.配置客户端接入域名
4. 登录认证测试 1.浏览器访问客户端接入域名,打开钉钉扫码认证界面。
2.使用手机端钉钉app扫码,即可登录访问内网资源。 |