IMC+钉钉

您好，参考案例

29-iMC EIA钉钉认证典型配置举例-新华三集团-H3C

简单来说，答案是两者都需要。IMC要同时具备主动访问公网和被公网访问的能力。只有同时满足这两个条件，才能打通IMC与钉钉的双向认证通道。

 IMC与钉钉认证的双向通信需求

钉钉认证的本质是“双向通信”：

• IMC主动访问钉钉：配置时，需要将IMC的公网出口IP加入钉钉白名单。

• 钉钉回调IMC：在钉钉开放平台配置的回调地址（如 http://<公网IP/域名>:端口/...），必须能被外网用户访问。

 一、IMC服务器需要访问公网（出方向）

主要是为了让IMC能主动调用钉钉的API接口（如***.***）进行认证。

• 网络要求：确保IMC服务器的网络策略允许它访问公网，并能解析钉钉的域名（DNS服务必须配置好）。

• IP白名单：必须在钉钉开放平台的后台，将IMC服务器的公网出口IP加入到“服务器出口IP”白名单中。多出口时，需将全部公网IP都加入白名单。

 二、IMC服务器需要对外映射（入方向）

主要是为了让钉钉服务器能回调到IMC。用户手机扫码时，钉钉服务器需要能访问到IMC。

• 回调地址：在钉钉开放平台配置的“回调地址”，其域名或IP必须是IMC映射后的公网地址，而非内网地址。

• 网络映射：需要在公网入口设备（如路由器或防火墙）上，将特定的公网IP和端口，映射到IMC服务器的内网IP和对应端口上。

• 端口要求：通常涉及 HTTP (80) 或 HTTPS (443) 端口，也取决于实际配置（如8000/8001）。

 配置关键点速查

• IP地址规划：区分IMC的内网IP、公网IP（映射地址）。注意，特定版本（如E0632P05及以上）支持Portal穿越NAT组网。

• 一致性检查：钉钉平台配置的“服务器出口IP”（出方向）与“回调地址域名/IP”（入方向）的配置必须正确无误。

• DNS服务：IMC服务器自身需配置可用的DNS，用于解析钉钉域名。