钉钉开发文档

钉钉云安全组白名单申请

更新时间: 2019-4-18

安全组白名单申请查看

打开开发者后台依次点击“应用开发” -> “第三方企业应用” -> “钉钉云” -> “安全组白名单申请” 
可以进入安全组白名单申请页面如下图

image.png

此页面中列出了已申请、已处理和已取消的所有安全组白名单申请,列表顶部可以查看相关说明文档,即本文档。

点击右上角“+新增安全组” 可申请,会弹出下图页面,进行安全组白名单申请,鼠标悬停字段右边的问号图标可看到该字段详细说明,页面顶部的填写说明为字段说明的相关文档链接。

image.png

如上图输入需要申请的信息后点击确定即申请成功。
申请成功后,新的安全组申请会展示在列表中。

状态说明

“新申请”:新申请的请求会显示为该状态,可取消或查看详情
“已取消”:已取消状态不可操作,可以点击“重新提交”,将原申请信息带入创建页面(不包括附件),修改为正确信息后可提交,生成一条新申请
“已通过”:审批被审批通过,申请会即时生效,此状态可查看详情,详情中会显示审批批注(可为空)
“已拒绝”:审批被拒绝,申请处于作废状态,可以在“查看详情”中看到审批批注,通常会看到拒绝原因,用户在此状态下可以点击“重新提交”,修改为正确信息后可重新提交,生成一条新申请。

申请项名词解释:

白名单只支持针对IP或IP范围开放域名只做备案使用,域名和ip要对应否则按违规处理
公司名:您注册钉钉云账户时填写的公司名称
网卡类型: 钉钉云默认内网,不能更改
规则方向
分为出方向和入方向
   入方向:钉钉云外的服务器访问钉钉云中部署服务
   出方向:从钉钉云ECS要访问钉钉云外的服务,例如三方软件源,信息服务,阿里高德地图服务等。
授权策略:分为允许访问和拒绝访问
协议类型:出入方向访问的协议类型,目前数据库相关访问是禁止的,如必须访问请直接联系管理员
服务方  

  • 阿里二方服务:

二方服务是指阿里集团产品直接提供的服务,需要出入方向访问,例如阿里云接口,uc接口,高德接口等,常用2方接口如申请提交无误会自动审批,IP会自动更新到钉钉云对应安全组中,审批生效。
ISV或三方租用阿里云服务器,部署在阿里云公有云的业务或oss存储之类不算阿里2方服务。

  • 公共三方服务:

三方服务通常指第三方机构例如讯飞语音服务,三方短信服务,国家征信查询接口等由可靠公共第三方服务商提供的服务,如有阿里云可替代服务,应选用阿里云服务,如无法迁移到阿里云服务需提供详细充分理由,否则系统会自动审批拒绝

  • ISV自建服务:

通常建议将钉钉相关业务和系统迁移到钉钉云内部署,不予开放ISV从钉钉云到公网自建服务的访问
但由于某些特殊原因,必须要访问ISV自建服务切无法找到替代方案时,可按钉钉安全原则规定,申请开放安全组白名单
ISV自建服务申请开放白名单,必须写出详细充分理由列出业务场景接口列表出入参数说明,以文档附件形式上传,接口访问会由网关统一过滤。
填写不规范会自动拒绝
域名:访问服务对应域名,用作校对,域名前不要加http/https,也做为二方自动审批的依据。
端口范围:要访问的端口范围,可单个端口,端口范围,多个端口申请,多个端口或范围用英文逗号","隔开
例如:
"80" 代表80端口  
"80/80" 代表80端口    
"8080/8085" 代表8080~8085端口
"80,443,8080" 代表80和443和8080端口 (不需要加引号)

优先级:20~80的范围, 优先级20最大,80最小,拒绝优先级高于允许
授权对象:需要访问的出方向或入方向ip列表或ip范围列表,一次最多10个,多个IP或范围用英文逗号","隔开 (必填,不要出错)
IP: 139.43.23.4
IP范围:139.43.23.41/30  (表示139.43.23.41开始,IP二进制前30位不变的IP范围)
多IP或范围:139.43.23.4,139.43.2.4/28,23.45.44.3
例子
如ISV要从钉钉云服务要访问www.cctv.com,需找到www.cctv.com的对应ip或ip范围58.216.21.98,114.236.90.114,服务分为http和https服务
则授权对象为 58.216.21.98,114.236.90.114 (你要访问的ip,入方向申请则为要访问你的ip)
域名www.cctv.com
端口 80,443
审批通过后,ISV即可从钉钉云服务器访问cctv网站 (入方向申请相仿)

注意
针对所有ip的端口开放用授权对象0.0.0.0/0,端口1/65535,只有在部署阶段可以临时开放,申请时需注明关闭时间,需要开放的详细充分理由
出方向授权对象 是钉钉云内要访问的域名对应的ip列表 没有域名填no.domain
入方向授权对象 是希望钉钉云特定端口的ip列表 没有域名填no.domain

ISV自建服务接口文档说明

  • 保证敏感数据不会泄露的情况下(包括但不限于企业通讯录,组织架构,微应用使用产生的用户数据)

  • 阿里云,钉钉云无替代方案实现所需开通安全组功能

  • ISV承诺所提供接口文档属实准确(钉钉云接口监控如果检测到和备案接口请求不一致,将追究相应责任,后果严重)

可以开通ISV自建服务安全组白名单。

通常只允许运维系统等,设置在钉钉云外,钉钉业务核心系统,必须放在钉钉云内,没有充分理由不予批准。

接口文档样例:

格式:doc,txt,pdf类型
内容
除列出详细的接口,参数字段外,还要详述接口字段作用。
样例

费用申请接口,用于申请费用
http://www.demodomain.com/service/fee_request      
      requestParam:{
userId:xxx //用户ID,由ISV自己生成
time:xxxx,xxx//费用使用时间
data:xxxx // 所需业务数据
} //不可以包含企业数据敏感信息

 ​     response:{xxx,xxx,xxx,xxx} //业务数据回调。
以上内容是否对您有帮助:
在文档使用中是否遇到以下问题(多选):
  • 内容错误
  • 更新不及时
  • 链接错误
  • 缺少代码/图片示例
  • 太简单/步骤待完善
手机号
更多建议
提交成功,感谢您的反馈!