上网认证+飞书授权
- 0关注
- 0收藏,42浏览
要实现H3C网络设备的Portal认证与飞书账户联动,确实需要引入一个支持OAuth 2.0等协议的第三方认证平台作为桥梁。市面上有成熟的方案(如宁盾等),可在H3C AC与飞书身份源之间对接,实现飞书扫码和无感知认证。
核心部署流程
整个方案主要分为飞书开放平台配置、第三方认证平台配置和H3C AC设备配置三大步骤:
飞书开放平台配置:这是整个方案的起点,你或你的飞书管理员需要在飞书开放平台完成。主要工作是在飞书开放平台创建一个企业自建应用,获取App ID和App Secret。这个过程通常很顺利,但如果遇到问题,关键是要确保应用权限配置正确(如获取用户身份权限),以免后续扫码时授权失败。
第三方认证平台配置:这是方案的核心,由你主导完成。你需要选择一个支持飞书OAuth 2.0认证的第三方统一认证平台(如宁盾等),然后将上一步获取的飞书应用凭证填入该平台,并完成两者的对接与策略配置。一般来说,此类平台都会提供相应的配置向导,按步骤操作即可。
H3C AC设备配置:在H3C AC上,你需要配置标准Portal认证,将认证服务器指向第三方认证平台的IP/域名和端口。同时,务必为未认证用户放通必需的域名白名单(如
*.***.***等飞书域名以及第三方认证平台相关域名),否则终端的认证流量会在起点被拦截,导致无法弹出认证页面。
无感知认证的实现
目前的无感知认证机制,均需与用户首次Portal认证配合才能建立免认证记录。
在首次扫码认证通过后,第三方平台会自动将用户的终端MAC地址和飞书账号进行绑定。之后,每当该设备接入网络,平台就能通过MAC地址识别其身份,自动完成二次无感知认证。
暂无评论
要实现H3C网络设备Portal认证与飞书账户联动,核心是通过H3C iMC EIA(终端智能接入)平台作为认证枢纽,结合飞书OAuth2.0协议实现身份验证。以下是完整的实施方案:
一、整体架构设计
飞书用户 → H3C网络设备(AC/Switch) → iMC EIA认证平台 → 飞书OAuth2.0服务
↑ ↑ ↑
扫码/无感知认证 Portal重定向 协议转换/身份验证
二、核心实现方案
方案一:iMC直接集成飞书(推荐)
前提条件:部署H3C iMC PLAT + EIA组件
配置步骤:
飞书开放平台配置
创建企业自建应用,获取AppID和AppSecret
配置OAuth2.0重定向地址:http://[iMC服务器IP]:8080/portal/oauth2/callback
开通权限:contact:user.base:readonly(读取用户基本信息)
iMC EIA配置
登录iMC管理平台 → 用户 → 接入策略管理 → 业务参数配置
配置第三方认证策略,选择OAuth2.0认证
填写飞书应用参数:
认证地址:***.***/open-apis/authen/v1/index
Token获取地址:***.***/open-apis/auth/v3/app_access_token/internal
用户信息地址:***.***/open-apis/authen/v1/access_token
请求类型:POST,参数格式:JSON
网络设备配置
# 配置Portal认证
portal enable method direct
portal bas-ip [iMC服务器IP]
portal apply web-server [服务器名称]
# 配置RADIUS服务器指向iMC
radius scheme [方案名称]
primary authentication [iMC服务器IP]
key authentication simple [共享密钥]
方案二:中间件转换方案(适用于无iMC环境)
当H3C设备与飞书接口格式不兼容时,需要部署中间件服务器:
中间件服务器开发
使用Python/Java等开发协议转换服务
实现功能:接收H3C OAuth请求 → 转换为飞书API格式 → 返回扁平化JSON
H3C设备配置
# 配置第三方OAuth认证
oauth-server feishu
client-id [飞书AppID]
client-secret [飞书AppSecret]
authorization-endpoint https://[中间件IP]/auth
token-endpoint https://[中间件IP]/token
userinfo-endpoint https://[中间件IP]/userinfo
三、无感知认证实现
MAC无感知认证配置
# iMC中配置MAC无感知
用户 → 接入策略管理 → 无感知认证 → 启用MAC无感知
设置无感知有效期:7-30天
飞书扫码关联MAC
首次认证:用户通过飞书扫码认证
iMC自动记录终端MAC地址与飞书账号绑定
后续访问:自动识别MAC,无需再次认证
四、关键配置要点
网络可达性
确保网络设备能访问iMC服务器(UDP 1812/1813,TCP 8080)
iMC服务器能访问飞书API(***.***)
域名放行
在Portal认证策略中放行飞书相关域名:
***.***
***.***
***.***
用户信息映射
配置iMC从飞书返回的JSON中提取用户标识字段
通常使用data.name或data.email作为用户名
五、验证与测试
测试流程
终端连接Wi-Fi/有线网络
自动弹出Portal页面,显示飞书扫码选项
手机飞书扫码授权
认证成功,获取网络访问权限
排错命令
display portal user all # 查看Portal在线用户
display radius scheme # 查看RADIUS配置
debugging portal all # 开启Portal调试
六、注意事项
版本兼容性
iMC EIA建议E0633及以上版本
H3C设备需支持Portal V3.0协议
飞书应用需V5.7及以上版本
安全考虑
使用HTTPS保护OAuth通信
定期更新飞书应用密钥
配置合理的会话超时时间
性能优化
对于大规模部署,考虑iMC集群
配置本地用户缓存减少飞书API调用
通过以上方案,您可以实现员工使用飞书账号扫码或无感知接入企业网络,统一身份管理的同时提升用户体验。如果遇到具体配置问题,建议联系H3C或飞书技术支持获取详细指导。
暂无评论
一、方案架构(两种模式)
模式 1:飞书扫码认证(员工 / 访客)
模式 2:飞书无感知认证(员工)
核心组件
- 飞书开放平台:提供 OAuth2.0 授权、用户信息 API
- 华三 iMC(或 ACG / 无线控制器):Portal 服务器 + 认证代理
- 网络设备(AC / 防火墙):推送 Portal、控制上网权限
二、飞书开放平台配置(必做)
1. 创建自建应用
- 登录飞书开放平台(***.***)→企业自建应用→创建应用(名称:企业网络认证)。
- 进入凭证与基础信息,复制
App ID、App Secret、Encrypt Key(后续 iMC 用)。
2. 配置重定向 URL(回调地址)
- 进入安全设置→重定向 URL,添加 iMC Portal 的回调地址:
https://<iMC服务器IP>:8443/portal/feishu/callback(格式按 iMC 要求)。
3. 申请 API 权限
contact:user.base:readonly(获取用户基础信息)contact:user:readonly(获取用户详情)tenant:tenant:readonly(验证企业身份)
4. 发布应用
三、华三 iMC 配置(核心,以 iMC E7 为例)
1. 添加飞书认证模板
- 登录 iMC→用户管理→认证管理→认证方式→第三方认证→飞书认证→新建模板。
- 填写模板信息:
- 模板名称:飞书上网认证
- App ID/Secret:飞书应用的凭证
- 重定向 URL:与飞书侧配置一致
- 授权范围:
contact:user.base:readonly - 认证成功跳转:原访问 URL。
2. 配置 Portal 服务器
- 进入用户管理→认证管理→认证方式→Portal Server→启用 Portal,绑定飞书认证模板。
- 配置 Portal URL:
https://<iMC IP>:8443/portal/Login.do,端口默认 8443。
3. 同步飞书组织架构(可选,无感知用)
- 进入系统管理→第三方用户同步→飞书数据源→新建数据源H3C。
- 填写飞书企业 ID、App ID/Secret,测试连通性后同步组织架构到 iMC 本地用户库H3C。
- 开启自动同步(每日凌晨同步),确保 iMC 用户与飞书一致。
4. 配置无感知认证(员工自动放行)
- 进入用户管理→认证管理→高级选项→无感知认证→启用飞书无感知。
- 配置触发条件:终端 IP/MAC + 飞书用户绑定(首次扫码后自动绑定)。
- 放行策略:绑定成功后,该终端7 天内免扫码,直接上网。
四、网络设备配置(AC / 防火墙)
1. 无线 AC 配置(推送 Portal)
# 全局开启Portal
portal web-server Feishu-Portal
url https://<iMC IP>:8443/portal/Login.do
server-type imc
# 绑定到无线服务模板
wlan service-template 1
portal web-server Feishu-Portal
portal authentication direct
2. 防火墙 / 核心交换机配置(重定向流量)
# 全局开启Portal
portal
# 接口下绑定Portal(用户VLAN接口)
interface Vlan-interface 10
portal apply web-server Feishu-Portal
portal authentication layer3
五、两种认证流程详解
1. 飞书扫码认证(访客 / 新员工)
- 用户连 WiFi→访问外网→设备重定向到 iMC Portal 页。
- 用户点 “飞书登录”→跳转飞书授权页→扫码确认。
- 飞书返回用户身份(userID / 手机号)→iMC 校验并创建临时用户。
- iMC 通知设备放行→用户上网,日志记录飞书账号。
2. 飞书无感知认证(老员工)
- 员工终端已登录飞书→连企业 WiFi。
- iMC 通过飞书 API 自动获取终端飞书用户信息。
- iMC 匹配本地同步的飞书用户→直接放行,无需扫码。
- 终端 MAC 与飞书账号绑定,下次连网自动识别。
六、常见问题排查
- 扫码后跳转失败:检查飞书重定向 URL 是否与 iMC 一致,端口 8443 是否放行。
- 无感知不生效:确认飞书用户已同步到 iMC,终端飞书在线,无感知策略已启用H3C。
- 授权失败:飞书应用权限未开通 / 未发布,或 App Secret 错误。
- 日志无记录:iMC 开启第三方认证日志,查看飞书 API 调用详情。
七、关键注意事项
- 飞书应用必须发布为线上版本,否则无法调用 API。
- iMC 与飞书时间同步(误差≤5 分钟),避免 token 校验失败。
- 无感知认证依赖终端飞书客户端在线,离线则自动跳转扫码页。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论