雷池WAF的身份认证 - 钉钉配置教程
雷池支持通过钉钉企业内部应用 H5 微应用的方式,让企业员工使用钉钉身份安全登录应用或网站。使用此功能需要对接钉钉开放平台并创建 H5 微应用。
准备工作
1. 创建钉钉H5微应用
-
登录钉钉开放平台,使用钉钉管理员账号完成登录。
-
在开发者后台,选择「应用开发」→「企业内部应用」→「创建 H5 微应用」。
-
填写应用基本信息,包括应用名称、应用图标、应用描述等,点击「保存」创建应用。
-
在应用详情页,记录下该应用的 ClientID 和 ClientSecret。这两个参数将用于雷池WAF的配置。
2. 配置应用权限
- 在应用详情页,点击「开发配置」→「权限管理」,为应用申请以下权限:
- 「通讯录个人信息读权限」
3. 配置回调域名
-
在应用详情页,点击「开发配置」→「安全设置」。
-
在「重定向 URL(回调域名)」部分,填写您的回调域名,例如:
https://waf.example.com/.safeline/auth/api/callback/dingtalk。 -
在「服务器出口 IP」中,添加应用服务器出口IP,填写您雷池 WAF 服务器的公网 IP 地址。
回调域名字段,需要在你的应用 URL 后面拼接 /auth/api/callback/dingtalk
4. 配置H5微应用
-
点击「应用能力」→「网页应用」配置应用首页地址:填写应用域名即可,例如:
https://waf.example.com -
点击「应用发布」→「版本管理与发布」。
-
点击 「创建新版本」按钮发布上线。
雷池WAF配置
1. 进入身份认证配置
-
前往雷池控制台「身份认证」→「配置」页面。
-
点击「第三方登录配置」,选择「钉钉」。
2. 填写配置信息
在配置表单中填写以下信息:
| 字段 | 描述 |
|---|---|
| ClientID | 钉钉应用的唯一标识,从钉钉开放平台获取 |
| ClientSecret | 钉钉应用的密钥,从钉钉开放平台获取 |
- 配置完成后,点击「提交」按钮完成绑定。
3. 配置身份认证应用
-
在「身份认证」→「应用」页面,选择需要启用钉钉登录的应用。
-
在应用的「登录方式」配置中,启用「钉钉」选项。
-
保存配置。
用户认证流程
应用开启「身份认证」功能并选择钉钉登录方式后:
-
当用户访问应用时,会显示钉钉登录选项。
-
用户点击钉钉登录按钮后:将显示二维码,用户需使用钉钉APP扫码授权
-
新用户首次认证授权后需要雷池管理员在控制台进行「审核确认」。
- 通过审核的用户即获得此应用授权,后续访问无需审核,认证通过即可成功登录。
- 未通过审核的用户访问应用将会被拦截,无法访问。
用户管理
在「身份认证」→「用户管理」页面,您可以:
- 查看用户是否已绑定钉钉认证。
- 对新用户进行审核操作。
- 管理用户的访问权限,包括授权和撤销。
统一认证设置(可选)
如果您希望用户只需认证一次就可以访问多个应用,可以配置统一认证:
- 前往「身份认证」→「设置」→「统一认证」。
- 开启统一认证功能。
- 选择需要加入统一认证的应用。
启用统一认证后,用户只需通过一次钉钉认证,即可访问所有参与统一认证的应用。
常见问题
Q: 如何控制应用的使用范围
A: 可在钉钉开放平台后台权限管理控制当前组织内哪些员工可见。
Q: 用户登录时提示"未找到该应用"
A: 请确认钉钉应用已成功发布,且该用户在应用可使用范围内。
Q: 授权成功后跳转失败
A: 请检查回调域名配置是否正确,确保与钉钉开放平台配置的回调地址一致。
Q: 无法获取用户信息
A: 请检查 ClientID 和 ClientSecret 是否填写正确,确保已申请并获得了必要的 API 权限,确保正确配置服务器出口 IP。
Q: 用户授权成功但被拦截访问
A: 请确认该用户是否已通过管理员审核。未审核或审核未通过的用户将无法访问应用。