通过钉钉扫码登陆第三方应用后,直接可以在web上访问钉钉
我们企业ERP嵌入了钉钉扫码登陆,用户在web端扫码登陆三方应用后,浏览器去访问钉钉官网或钉盘连接,可以看到用户的钉钉已经登陆,这里的登录权限太大了,我们需求是通过钉钉登录我们的ERP应用,并不需要直接登录钉钉,这样如何解决呢?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
要解决您提出的问题,即通过钉钉扫码登录ERP应用时避免用户直接登录钉钉官网或钉盘连接,可以通过以下方式实现更细粒度的权限控制和配置。以下是详细的解决方案:
1. 配置钉钉内部应用的权限范围
在钉钉开放平台中,您可以对应用的权限进行精细化管理,确保其仅用于特定场景(如ERP应用登录),而不允许访问其他钉钉服务。
-
操作步骤:
- 登录钉钉开放平台,进入您的企业内部应用详情页面。
- 在“开发配置”>“权限管理”中,检查并调整应用的权限范围。
- 确保仅授予与ERP登录相关的必要权限,例如“成员信息读权限”。
- 移除或不勾选与钉钉官网、钉盘等无关的权限。
- 发布新版本以使权限调整生效。
-
重要提醒:
- 权限最小化原则:只授予应用运行所需的最低权限,避免不必要的权限导致用户登录到其他服务。
- 如果您的ERP应用不需要访问钉钉通讯录或其他敏感数据,请确保这些权限未被启用。
2. 使用自定义回调域名限制登录行为
通过配置钉钉应用的回调域名,可以限制登录后的行为,确保用户仅能访问ERP应用,而不会跳转到钉钉官网或钉盘。
-
操作步骤:
- 在钉钉应用详情页面,选择“开发配置”>“安全设置”。
- 配置重定向URL为ERP应用的专属登录回调地址,例如
https://erp.example.com/callback。- 确保该回调地址仅指向ERP应用,而不是钉钉官网或钉盘。
- 保存配置并重新发布应用。
-
重要提醒:
- 严格校验回调地址:确保回调地址与ERP应用的实际登录逻辑一致,避免因配置错误导致用户跳转到其他服务。
- 如果使用了多个环境(如测试环境和生产环境),请分别为每个环境配置独立的回调地址。
3. 在ERP应用中实现单点登录(SSO)隔离
通过在ERP应用中实现钉钉扫码登录的单点登录(SSO)机制,可以进一步隔离钉钉登录与其他服务的关联。
-
操作步骤:
- 在ERP应用中集成钉钉扫码登录功能,使用钉钉提供的OAuth 2.0协议完成身份验证。
- 在ERP应用的登录逻辑中,仅处理钉钉返回的用户身份信息(如
userid或unionid),而不触发钉钉官网或钉盘的会话。 - 确保ERP应用的登录流程独立于钉钉官网,用户登录后仅能访问ERP应用的功能。
-
重要提醒:
- 避免共享会话:确保ERP应用的会话与钉钉官网的会话完全隔离,避免用户通过ERP登录后直接访问钉钉官网。
- 如果需要更高的安全性,可以在ERP应用中实现二次认证(如短信验证码或动态令牌)。
4. 使用IDaaS作为中间层进行权限隔离
如果您的企业已经使用阿里云的应用身份服务(IDaaS),可以通过IDaaS作为中间层来隔离钉钉登录与ERP应用的权限。
-
操作步骤:
- 在IDaaS中绑定钉钉,并配置钉钉扫码登录功能。
- 在IDaaS的身份提供方配置中,仅启用与ERP应用相关的登录能力,关闭其他无关的登录选项。
- 在ERP应用中集成IDaaS的登录接口,通过IDaaS完成钉钉扫码登录的身份验证。
- 确保IDaaS中的钉钉同步范围仅限于ERP应用所需的用户数据,避免同步到其他无关服务。
-
重要提醒:
- 权限隔离:通过IDaaS的配置,可以确保钉钉登录仅用于ERP应用,而不会影响其他服务。
- 如果需要更高级的权限控制,可以在IDaaS中开启钉钉高级配置,获取完整的用户信息并进行自定义处理。
5. 测试与验证
在完成上述配置后,建议进行以下测试以确保问题已解决:
-
测试场景:
- 用户通过钉钉扫码登录ERP应用后,尝试访问钉钉官网或钉盘,确认无法直接登录。
- 检查ERP应用的登录流程是否正常,确保用户能够顺利登录并使用ERP功能。
- 验证ERP应用的会话是否独立于钉钉官网,避免会话共享导致的安全风险。
-
重要提醒:
- 小范围测试:建议先在非生产环境中进行测试,确保配置无误后再推广到生产环境。
- 日志监控:通过钉钉开放平台和ERP应用的日志,监控登录行为,及时发现并修复潜在问题。
通过以上步骤,您可以有效限制钉钉扫码登录的权限范围,确保用户仅能通过钉钉登录ERP应用,而不会直接登录钉钉官网或钉盘。
