开发者社区 问答 正文

通过钉钉扫码登陆第三方应用后,直接可以在web上访问钉钉

我们企业ERP嵌入了钉钉扫码登陆,用户在web端扫码登陆三方应用后,浏览器去访问钉钉官网或钉盘连接,可以看到用户的钉钉已经登陆,这里的登录权限太大了,我们需求是通过钉钉登录我们的ERP应用,并不需要直接登录钉钉,这样如何解决呢?

展开
收起
1850191024928021 2023-10-17 17:24:47 130 分享 版权
阿里云 AI 助理回答

要解决您提出的问题,即通过钉钉扫码登录ERP应用时避免用户直接登录钉钉官网或钉盘连接,可以通过以下方式实现更细粒度的权限控制和配置。以下是详细的解决方案:


1. 配置钉钉内部应用的权限范围

在钉钉开放平台中,您可以对应用的权限进行精细化管理,确保其仅用于特定场景(如ERP应用登录),而不允许访问其他钉钉服务。

  • 操作步骤

    1. 登录钉钉开放平台,进入您的企业内部应用详情页面。
    2. 在“开发配置”>“权限管理”中,检查并调整应用的权限范围。
      • 确保仅授予与ERP登录相关的必要权限,例如“成员信息读权限”。
      • 移除或不勾选与钉钉官网、钉盘等无关的权限。
    3. 发布新版本以使权限调整生效。
  • 重要提醒

    • 权限最小化原则:只授予应用运行所需的最低权限,避免不必要的权限导致用户登录到其他服务。
    • 如果您的ERP应用不需要访问钉钉通讯录或其他敏感数据,请确保这些权限未被启用。

2. 使用自定义回调域名限制登录行为

通过配置钉钉应用的回调域名,可以限制登录后的行为,确保用户仅能访问ERP应用,而不会跳转到钉钉官网或钉盘。

  • 操作步骤

    1. 在钉钉应用详情页面,选择“开发配置”>“安全设置”。
    2. 配置重定向URL为ERP应用的专属登录回调地址,例如 https://erp.example.com/callback
      • 确保该回调地址仅指向ERP应用,而不是钉钉官网或钉盘。
    3. 保存配置并重新发布应用。
  • 重要提醒

    • 严格校验回调地址:确保回调地址与ERP应用的实际登录逻辑一致,避免因配置错误导致用户跳转到其他服务。
    • 如果使用了多个环境(如测试环境和生产环境),请分别为每个环境配置独立的回调地址。

3. 在ERP应用中实现单点登录(SSO)隔离

通过在ERP应用中实现钉钉扫码登录的单点登录(SSO)机制,可以进一步隔离钉钉登录与其他服务的关联。

  • 操作步骤

    1. 在ERP应用中集成钉钉扫码登录功能,使用钉钉提供的OAuth 2.0协议完成身份验证。
    2. 在ERP应用的登录逻辑中,仅处理钉钉返回的用户身份信息(如useridunionid),而不触发钉钉官网或钉盘的会话。
    3. 确保ERP应用的登录流程独立于钉钉官网,用户登录后仅能访问ERP应用的功能。
  • 重要提醒

    • 避免共享会话:确保ERP应用的会话与钉钉官网的会话完全隔离,避免用户通过ERP登录后直接访问钉钉官网。
    • 如果需要更高的安全性,可以在ERP应用中实现二次认证(如短信验证码或动态令牌)。

4. 使用IDaaS作为中间层进行权限隔离

如果您的企业已经使用阿里云的应用身份服务(IDaaS),可以通过IDaaS作为中间层来隔离钉钉登录与ERP应用的权限。

  • 操作步骤

    1. 在IDaaS中绑定钉钉,并配置钉钉扫码登录功能。
    2. 在IDaaS的身份提供方配置中,仅启用与ERP应用相关的登录能力,关闭其他无关的登录选项。
    3. 在ERP应用中集成IDaaS的登录接口,通过IDaaS完成钉钉扫码登录的身份验证。
    4. 确保IDaaS中的钉钉同步范围仅限于ERP应用所需的用户数据,避免同步到其他无关服务。
  • 重要提醒

    • 权限隔离:通过IDaaS的配置,可以确保钉钉登录仅用于ERP应用,而不会影响其他服务。
    • 如果需要更高级的权限控制,可以在IDaaS中开启钉钉高级配置,获取完整的用户信息并进行自定义处理。

5. 测试与验证

在完成上述配置后,建议进行以下测试以确保问题已解决:

  • 测试场景

    1. 用户通过钉钉扫码登录ERP应用后,尝试访问钉钉官网或钉盘,确认无法直接登录。
    2. 检查ERP应用的登录流程是否正常,确保用户能够顺利登录并使用ERP功能。
    3. 验证ERP应用的会话是否独立于钉钉官网,避免会话共享导致的安全风险。
  • 重要提醒

    • 小范围测试:建议先在非生产环境中进行测试,确保配置无误后再推广到生产环境。
    • 日志监控:通过钉钉开放平台和ERP应用的日志,监控登录行为,及时发现并修复潜在问题。

通过以上步骤,您可以有效限制钉钉扫码登录的权限范围,确保用户仅能通过钉钉登录ERP应用,而不会直接登录钉钉官网或钉盘。

有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
0 条回答
写回答
取消 提交回答