aTrust对接企业微信认证并发布H5应用
  

李园长 2576

{{ttag.title}}
本帖最后由 李园长 于 2024-7-29 10:52 编辑

1、测试背景
客户内网有OA办公需求,客户通过登录企业微信后点击OA应用形式访问OA办公业务,OA服务器部署客户内网,并且对外映射对应服务,目前该映射被客户上级单位扫描通报,要求进行对应收缩,因此现计划通过atrust对接企业微信在外网访问OA应用,本文将详细讲解atrust对接企业微信发布H5应用(OA),实现客户登录企微微信后直接访问H5应用,帮助客户完成OA业务暴露在互联网被上级单位通报问题。
2、配置准备
aTrust对接企业微信认证前,我们需要对现有环境进行准备和验证,包括如下。
管理员登录控制中心(或综合网关)的webconsole页面,检测控制中心(或综合网关)与企业微信服务器的网络联通性;对接企业微信认证和发布web应用时,需准备两个域名:atrust客户端接入域名例如:lxr.xx.qh.cn:4430(域名由客户进行申请,DNS解析到atrust接入客户端对外映射地址即可,本次测试atrust综合网关内网地址为10.188.0.xx,对外映射地址为:111.12.216.xxx
3、H5应用泛微OA域名:例如:dlwg.xx.qh.cn:8971(域名由客户进行申请,DNS对应解析到atrust接入客户端对外映射地址即可----H5应用为WEB类应用,即域名DNS解析到atrust的除隧道接入地址端口和客户端接入地址端口外其他端口即可(本案例中atrust客户端接入端口为4430,隧道接入端口为4411
注意:(受企业微信限制,要在企业微信里打开网页的话,就必须有授信证书,web应用访问会访问web应用前端地址,然后重定向到接入地址鉴权登录,所以两个域名都要有证书)
需将客户端接入域名lxr.xx.qh.cnIIS证书导入零信任设备证书(证书由客户进行提供)
H5应用泛微OA域名dlwg.xx.qh.cnIIS证书导入零信任web证书(证书由客户进行提供)
企业微信上的配置信息准备,需客户在企业微信开发者后台配置一个用于认证的atrust认证应用(影子应用),获取该应用的授权应用AgentId和授权应用Secret信息,并记录;企业微信上的配置信息准备,需获取客户的企业Corp ID(如下图所示)
2.1企业微信认证准备
2.1.1网络验证
1管理员登录aTrust控制中心(或综合网关),进入[系统管理/系统运维使用ping/telnet命令检查与企业微信的网络联通性。
使用ping/telnet命令检查open.weixin.qq.com网络联通性。
(2)使用ping/telnet命令检查qyapi.weixin.qq.com网络联通性。
2.1.2 域名准备
部署模式
域名要求
说明
综合网关
客户端接入地址域名lxr.xx.qh.cn及域名证书
OA应用前端访问域名:dlwg.xx.qh.cn及域名证书
注意!!!:OA应用前端访问地址需解析至综合网关对外映射地址
2.1.3 客户端接入地址配置
客户提供域名lxr.xx.qh.cn,我们需要登录aTrust控制中心(或综合网关)控制台,进[系统管理/系统设置/通用配置]-客户端接入设置,配置接入地址。企业微信认证场景下接入地址必须是域名
2.1.4 企业微信配置信息准备2.1.4.1获取企业CorpID
客户在PC端浏览器输入域名https://work.weixin.qq.com登录企业微信开放平台,管理员扫码登录企业微信控制台, 在导航栏中选择[我的企业,进入企业信息详情。页面拉取到最下面,可看到企业ID信息,获取企业的CorpID信息。
2.1.4.2 获取应用Secret和授权应用AgentId新建一个影子应用:aTrust企业微信认证创建的影子应用主要是提供一个接口用于aTrust去拉起aTrust并目去获取企业微信用户权限,说白了影子应用就是为了拉取企微用户认证的作用,其目的就是当用户点击H5应用时,先通过atrust内将企微用户信息在企微中进行验证,验证其身份合法后才能允许访问H5应用(这个过程是在atrust内部完成的,对于用户点击登录OA时是无感知的)
1在导航栏中选择[应用管理,进入应用管理页面。页面拉取到最下面,在[第三方应用处,点击<创建应用>新建aTrust认证影子应用。
(2)传应用的logo图片,并配置应用名称和应用介绍。同时选择应用对用户的可见范围,建议选择全部人员
(3)点击<创建应用>,进入应用配置详情页。可在应用详情页面获取应用的SecretAgentId,其中Secret需点击<查看>后在手机app上获取,具体信息如下。Secret的获取:点击<查看>后在手机appPC端的企业微信软件上获取。
获取的具体信息如下,并记录:
AgentId1000011
SecretOEifSvXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
5在该应用配置页面,将页面拉取到最下面的开发者接口,配置网页授权及JS-SDK”配置将客户端接入地址设置为企业微信的可信域名。
(6)域名所有权校验不通过时,点击下方【申请校验域名】,需将校验文件添加到零信任的可信域
(7)步骤3. aTrust设备上配置可信域名校验,在[业务管理/认证管理/认证服务器新增编辑企业微信认证服务器,在使用场景中勾选【企业微信APP拉起MiniConnect APP单点登录】,点击【配置可信域名】。
(8)将步骤2中下载的可信域名校验文件的文件名和文件内容配置上去点击确定即可。
(9)确定后手动在浏览器输入https://客户端接入域名:端口/校验文件名.txt 测试是否生效,如图所示可以正常访问到文件内的内容则为上传成功。若返回404则说明上传失败或者配置错误,请仔细检查配置的文件名和内容。
10)在企业微信后台上应用配置可信域名的界面点击确定,完成可信域名校验。(授权回调域,配置为客户端接入地址域名
11点击<保存>完成配置。
1、配置准备
3.1 用户目录配置与管理3.1.1 用户目录配置
目前aTrust支持直接从企业微信通讯录拉取用户信息,即可将企业的用户目录信息同步至atrust本地,具体配置如下。
(1)登录atrust综合网关,点击系统管理>>特性中心,开启企微认证
(2)管理员登录aTrust控制中心(或综合网关)控制台,进入[业务管理/用户管理]点击<新增>配置企业微信用户目录。
(3)进入用户目录配置页面,完成基本信息配置。
(4)完成管理接口配置。
配置企业微信管理接口,需完成如下信息配置。
用户来源选择:外部
服务器类型选择:企业微信
CorpID信息:参考章节2.1.4.1.获取企业CorpID的信息
(5)完成登录安全设置、相应字段解析和默认授权配置。
(6)登录安全设置、相应字段解析和默认授权配置,选择默认配置即可。
点击<保存>完成企业微信的用户目录配置。
3.1.1 用户目录信息同步
完成企业微信的用户目录配置后,即可在企业微信用户目录管理页面,将企业微信的用户组织架构信息同步到本地。
(1)[业务管理/用户管理]点击企业微信用户目录,进入用户目录管理页面。
(2)进入用户目录管理页面后,点击<导入>将企业微信上的用户目录信息导入至aTrust本地。
(3)进入用户目录管理页面后,点击<导入>将企业微信上的用户目录信息导入至aTrust本地。
4完成配置后,即可看到企业微信的用户目录信息已同步至本地。
3.2 配置企业微信认证
本章节将详细介绍aTrust对接企业微信认证的配置,管理员登录控制中心(或综合网关)控制台。进入[系统管理/特性中心]选择企业微信认证,点击<开启>完成功能的启用。进入[业务管理/认证管理]点击<新增>选择企业微信认证
3.2.2 认证配置
完成服务器配置,包括服务器地址、使用场景、CorpID、授权应用Secret和授权应用AgentId信息,具体如下。
服务器地址:默认填写为https://qyapi.weixin.qq.com,企业微信的默认的地址。
使用场景:选择企业微信APP或扫码登录访问。
CorpID:请参考章节2.1.4.1.获取企业CorpID操作,获取企业ID信息。
授权应用Secret和授权应用AgentId信息:请参考章节2.1.4.2.获取授权应用Secret和授权应用AgentId信息,获取认证应用的SecretAgentId信息。
3.2.3 相应字段解析和用户源配置
响应字段解析,选择默认配置即可。
用户源设置,包括配置获取用户信息Secret,关联用户目录和用户查找方式。
获取用户信息Secret:请参考章节2.1.4.3.获取用户信息Secret,获取信息。
关联用户目录:点击选择章节3.1.1用户目录配置的企业微信用户目录。
用户查找方式:选择默认即可,用户查找方式默认为外部ID
点击<保存>完成企业微信的认证配置。
3.3 企业微信扫码登录3.3.1 默认登录方式非企业微信
1管理员登录控制中心(或综合网关)控制台,进入[系统管理/系统配置/登录门户/门户设置],设置默认登录方式为本地密码认证。
2浏览器输入客户端接入地址,显示登录页面。
3点击企业微信图标,进入企业微信扫码登录界面,勾选我已阅读并同意《用户协议》
4手机app扫码登录,进入应用中心页面。此时未给用户授权应用,应用中心无应用显示。(下图为添加资源时截图,在没有添加任何资源时为空白,工作台无任何应用可以使用)
3.4 企业微信发布H5应用
要实现在企业微信app内经过aTrust代理访问H5应用的需求,操作步骤大概有两步,分别是如下。
aTrust平台发布WEB应用,并给企业微信用户授权。
在企业微信管理后台,发布相对应的H5微应用,并授权给用户。
下面将详细介绍H5应用在aTrust平台和企业微信平台发布的详细配置。
3.4.1 WEB应用配置和授权3.4.1.1 WEB应用发布
1.配置信息准备
后端服务器地址为:
前端访问地址为:
http://dlwg.xx.qh.cn:8971
3.4.1.1 WEB应用端口映射
(1)发布web应用时,需将前端地址和后端地址端口一对一映射外网,该场景中,需将10.188.0.xx:8971(零信任综合网关内网地址)映射到外网111.12.xx.xx:8971(零信任综合网关映射外网地址)
(2)前端访问地址域名dlwg.xx.qh.cn证书导入零信任web证书
(3)客户端接入地址域名lxr.xx.qh.cn证书导入零信任设备证书
(4web应用配置【添加应用】-web模式】,配置后端服务器地址+前端访问地址,选择域名证书
3.4.1.2 用户授权
(1)已完成了WEB应用的配置,此时需将该应用授权给企业微信用户。因为企业微信用户已导入至本地,故可使用精细化授权,即对组织架构、群组和用户进行授权。此处说明只针对组织架构授权,具体操作步骤如下。
步骤1. 管理员登录控制中心(或综合网关),进入[业务管理/用户管理]选择企业微信用户目录,点击<编辑>进入配置页面。
(2)进入用户目录管理页面,选择公司的的组织,点击<编辑>进行应用授权。
3进入编辑组织架构页面,选择授权设置,点击<添加组应用>对组织进行应用授权。
(4)点击<确定>完成组应用授权,点击<保存>完成配置。
3.4.2 企业微信后台发布企业自建应用和授权
已在aTrust控制中心(或综合网关)发布了WEB应用,并授权给了企业微信的用户。此时,需将该应用同时在企业微信后台上发布,并授权给用户。
3.4.2.1企业微信H5微应用发布和授权(1)客户管理员在PC端浏览器输入企业微信管理后台地址https://work.weixin.qq.com/wework_admin/frame#apps登录企业微信开发者后台,在导航栏点击<应用管理-应用>进入企业微信应用配置页面;此处填写在aTrust上发布的WEB应用前端访问地址

4、效果演示
4.1 用户访问H5应用 4.1.1 PC端企业微信软件访问应用
PC端下载企业微信软件,安装后,登录企业微信客户端。
在企业微信软件点击导航栏的工作台,点击发布的H5应用,访问成功。
点击OA办公后,跳转进行登录
4.1.2 移动端企业微信APP访问应用
在手机端下载企业微信app,安装后,登录企业微信客户端。
在企业微信软件点击导航栏的工作台,点击发布的应用,即可访问成功。     
4.1.3 atrust工作台点击访问OA办公后跳转浏览器进行登录
跳转拉取认证信息,认证通过后,即可打开应用。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

47
14
0

发帖

粉丝

关注

62
24
2

发帖

粉丝

关注

6
2
0

发帖

粉丝

关注

本版达人