在企业级集成中,有些场景比较棘手,如:如何在保持内网应用物理隔离的同时,无缝对接企业微信的身份认证体系?
本期我们将关注一种轻量级应用边缘网络访问方案-ZeroNews企业网关,在企业微信集成中的使用实践。
ZeroNews 企业网关+企业微信
ZeroNews 的解决方案理念是 "零接触"。通过企业安全网关+应用级隧道和解耦的 IAM 架构,在保障安全的前提下,实现了简单的接入体验。更重要的时,不需要所有人额外安装客户端。
关键步骤:
步骤一:注册ZeroNews 企业账号,并添加企业域名
ZeroNews用户控制中心--自有域名,此处可以提交企业自己的域名
步骤二:企业微信上创建自有应用
登录企业微信管理后台--应用管理--创建应用,此步骤最关键的是要完成应用域名的校验。因为企微对自建应用的域名,必须满足可信域名的要求,即使用的域名,必须是认证企业自己域名,或关联企业的域名。
步骤三:ZeroNews用户控制台,创建应用访问隧道
步骤二完成域名审核后,即可在平台创建应用的安全隧道,并成功获取隧道访问地址。
步骤四:部署ZeroNews IAM并完成配置
在IAM平台,创建基于应用的访问连接器,并可以同步企微的通讯录,并根据角色控制访问权限。
在配置中,也可以设置在浏览器,企业微信扫码登录访问。
配置时,会涉及到企微的一些信息,如Corp ID,应用的AgentID等。
步骤五:测试访问
可以针对不同角色添加授权,测试从企业微信里面访问应用,和浏览器扫码访问应用,看是否允许或被拒。
方案要点:
安全性:数据安全如何得到保障?
除了隧道本身的加密外,ZeroNews提供了端到端的TLS方案,私钥可以部署在上游应用端,这样便不用担心数据泄密问题。IAM服务部署在企业自己的服务器,企业通讯录也不会外泄。
便捷性:企业维护成本怎样?
这套方案的优势,就是轻量化,基于应用,对企业现有网络零侵入。
同时,所有配置操作都是可视化管理,几乎不涉及纯技术,即使产品经理,也可以一人完成配置,极大的降低了企业维护的门槛和成本。
员工体验:员工无需安装访问客户端
所有访问应用的用户,无需安装任何 APK 或证书。只需在企微中点击应用,网关会自动处理基于 SNI 的路径匹配与身份重定向。被授权的访问用户,在企微里感受不到任何多余步骤。
实现逻辑
1. 身份映射: 将企微的 OAuth2.0 回调地址映射到 ZeroNews 提供的 CNAME 域名。
2. 流量管理: 在边缘网关层配置访问策略,仅允许来自企业微信 IP 段或持有特定 JWT 令牌的请求进入隧道。
3. QoS 管理: 可以为不同的内部应用,分配独立的带宽配额,确保关键业务的体验不受干扰。
ZeroNews 企业网关方案最大的优点是轻量,体验好,管理成本低,如果你的企业也有类似场景痛点,不妨体验一下。
