钉钉&SSL VPN对接项目经验分享

准备工作：

1、需要一个域名，如：emm.safeapp.com.cn

2、需要一个受信证书，该证书需要是颁发给emm.safeapp.com.cn 的SSL受信证书，受信证书可以到 某公司/某公司 免费申请。

（为什么要域名和受信证书？因为SSL VPN使用的是https，而钉钉只允许访问拥有受信证书的https站点，而受信证书只能颁发给域名，因此需要准备域名和受信证书）

3、SSL VPN设备必需是M7.5及以上版本。

4、VPN设备需要打一个补丁包，这个补丁包支持M7.5与M7.6.1，补丁包路径如下：

20171124_CTI-Support_M7.5-M7.6.0_TD37328.ssu

5、SSL VPN需要开有EMM基础版（EasyApp）授权，MiniConnect使用用的是EMM基础版（EasyApp）并发授权。

6 、VPN设备需要与https://oapi.dingtalk.com互联。

实施步骤：

1、进入钉钉开放平台（http://open-dev.dingtalk.com/）->开发账号管理，为VPN单独生成CorpSecret，并将CorpID和CorpSecret填写入SSL VPN控制台（认证设置 -> 钉钉认证设置）：

2、进入钉钉后台 ->工作台（https://oa.dingtalk.com/），添加应用（用于启动Vpn）：

注：首页地址为：https://VPN地址/por/dingtalk.html#redirecturl=URL编码后的内网地址，示例：https://emm.safeapp.com.cn:12443/por/dingtalk.html#redirecturl=http%3A%2F%2F201.200.4.243

添加完后，请记录下AgentID，后面需要使用到。

注意：一定一定不要看设备里面那个配置文档的url写法，如下图。这个配置文档里面写错了！！！！！

正确写法格式！！！！符号不要写错！！！！

如果默认是443端口就不需要写端口，如果不是默认443需要后面写端口

https://VPN地址/por/dingtalk.html#redirecturl=URL编码后的内网地址

如：

https://emm.safeapp.com.cn:12443/por/dingtalk.html#redirecturl=http%3A%2F%2F201.200.4.243

钉钉后台微应用里面首页地址一定一定要用编码后的内网地址！！！！！！

随便百度找一个编码器，然后进行编码！！！，如下图！

3、在SSL VPN设备钉钉认证配置界面，添加应用：

注：AgentID是上一步生成的AgentID，首页地址为：

用来拉起来vpn

https://emm.safeapp.com.cn:12443/por/dingtalk.html

一定一定按照这个链接写！！！！！！！！！！！！！！！！！！

然后把用户映射到我们手动创建的钉钉用户组！！

4、继续在钉钉上面添加应用（用于注销Vpn）：

注：首页地址为：

https://emm.safeapp.com.cn:12443/por/dingtalkminiconnect.html?dd_nav_bgcolor=3399FB

这个应用一定要有，钉钉不需要把微应用发不出来即可。

5、如果需要继续添加内网应用，只要钉钉后台添加即可（无需在VPN上面操作），添加的首页地址格式为：https://VPN地址/por/dingtalk.html#redirecturl=URL编码后的内网地址

6.别忘了导入域名证书！！

6.别忘了添加资源！！！！！！

一定一定要是L3VPN资源。

设备默认资源的tcp的，一定一定要手动去添加一个L3VPN的！！

然后把资源给钉钉角色，然后给映射到钉钉用户组！！

7.如果vpn外网出口多ip话，一定一定要固定成一个ip作外网ip！！

钉钉后台白名单要添加我们vpn的外网ip放行！！！！

最后，点击钉钉上面的微应用，第一次打开会提示下载miniconnect应用，然后会连接vpn，然后就能打开我们要发布的内网资源了！！！

感谢分享，学习一下~

打卡学习，感谢大佬分享！

每天坚持打卡学习签到！！

楼主辛苦了  写的好详细

感谢楼主无私的分享                  

能不能用户后台默认联通，这个是不是需要每次都点击一下，打开vpn

如何在钉钉应用和SSL VPN之间传递钉钉的用户帐号信息？

干货满满，感谢楼主的分享！

学习到了，谢谢分享