更新时间:2024-09-10
1功能简介
1.1应用场景
阿里钉钉是阿里巴巴打造的一款免费智能移动办公平台,也是我们自定义的一种认证服务器 ,适用于 WPA/WPA2 企业无线网络,同时也支持作为 WEB 认证的第三方认证服务器。
1.2适用版本
NAC3.13.0
1.3配置思路
1、阿里钉钉账号认证配置;
2、阿里钉钉Oauth 2.0配置;
3、建立SSID。
2注意事项
2.1业务影响范围
启用该功能不影响业务。
2.2配置注意事项
1、钉钉平台做了升级,导致部分客户测试对接钉钉使用oauth2.0一键认证以及电脑扫码登录认证时,在钉钉开放平台上找不到“创建扫码登录应用授权”的按钮。可通过访问以下链接https://open-dev.dingtalk.com/v1/fe/old#/loginMan ,就能出现“创建扫码登录应用授权”的按钮,此时即可按照之前的方法进行创建;
2、配置回调域名的时候最后一定要加一个“/”,如:“http:// auth.wifi.com/”;
3、配置应用首页地址时注意在控制器生成的链接末尾添加“&v=1”。
3 配置步骤
3.1 新建H5微应用
1、进入企业内部开发,新建H5微应用,配置应用名称、应用描述、应用图标等,开发方式选择“企业自主开发”,然后点击“确认创建”。
2、新建完H5微应用之后,点击查看应用信息可以看到AppKey(应用标识)、AppSecret(应用密钥)和AgentID。
3、点击“首页”,查看Corpid(企业标识)。
4、上述参数AppKey(应用标识)、AppSecret(应用密钥)和AgentID以及Corpid(企业标识)填写至控制器中,在【认证配置】-【认证授权】-【外部服务器】中创建新的MDQ服务器,选择阿里钉钉服务器,并填入对应参数,填写完毕后点击“生成授权URL”并复制。
5、在创建的应用里的开发管理中,做如下配置:
1)服务器出口IP:将控制器NAC的出口公网IP添加上去,注意:若NAC出口IP是不固定的,如通过PPPoE方式获取的地址,那公网IP一改变则需要在该位置重新配置上新的公网IP,否则将导致终端认证失败。
2)应用首页地址:将控制器上复制的授权URL黏贴进去,并在末尾添加&v=1。
6、权限管理,将相关通讯录权限和手机号权限、成员信息读权限开通,终端才能正常认证并获取到手机号。
7、在“部署已发布-版本管理与发布”点击确认“确认发布”。
8、该应用的可见范围选择“全部员工”。
3.2 新建Oauth2.0应用
1、打开登录与分享 点击回调域名,其中回调域名与认证高级选项中的认证域名保持一致。(注:配置回调域名的时候最后一定要加一个“/”,如:http:// auth.wifi.com/)
2、提交完成后返回旧版(可通过访问以下链接https://open-dev.dingtalk.com/v1/fe/old#/loginMan 。),点击“创建扫描登录应用授权”会生成会生成appid和appSecret,将这两个参数复制到控制器上。
3.3 新建SSID
1、配置完钉钉服务器之后,需要创建一个SSID,认证服务器调用钉钉服务器。(这里一定要先调用钉钉服务器,否则可能导致后面修改Wi-Fi账号密码不成功)。
2、认证前调用SecureRole角色,该角色已经全局排除钉钉的域名和地址。
4 效果 演示
4.1账号认证效果
登入手机钉钉应用,设置Wi-Fi账号密码。
4.2 Oauth2.0认证效果
1)手机端认证,通常使用一键登入或者账号密码认证。
2)PC端认证,可以使用扫码方式登入,也可以使用账号密码方式登。
5常见问题
1、如“errorCode =66117, errorMsg = 回调域名url需要有path部分”错误配置回调域名的时候,URL最后需要加一个“/”,没有配置就会报这个错误。
2、“访问ip不在白名单中”错误未将出口ip加入白名单就会导致此问题,需要将此ip添加到钉钉应用的白名单中。
3、终端认证后在线用户显示用户名为mac地址,这里有两个原因:一是出口ip没有加入白名单拿不到钉钉的token导致获取不到钉钉的相关信息,二是接口权限没有开放,导致获取不到钉钉的信息。