本文目录导读:
- 方式一:使用钉钉连接器(最推荐,安全且易用)
- 方式二:使用钉钉专有钉钉(针对大型企业,安全级别最高)
- 方式三:使用钉钉酷应用或H5微应用(最通用,适合Web应用)
- 方式四:使用内网穿透工具(临时或测试用,不推荐生产)
- 方式五:使用专线/VPN + 钉钉网关(混合方案)
- 总结与决策建议
钉钉打通企业内外网,通常指的是让外网用户(如客户、供应商、出差员工) 能够安全、便捷地访问内网应用(如OA、ERP、CRM),以及让内网员工能够访问外网资源。
钉钉本身就是一个基于互联网的SaaS应用,天然支持外网访问,关键在于如何将企业自建的内网系统通过钉钉暴露给外部用户,同时保证安全。
以下是几种主流的打通方式,按推荐程度和适用场景排序:
使用钉钉连接器(最推荐,安全且易用)
这是钉钉官方提供的原生能力,非常适合外网用户访问内网API的场景(如:客户在小程序查询订单、供应商在钉钉内提交单据)。
- 原理:在钉钉开放平台创建一个“连接器”,将内网系统的API接口映射到钉钉上,钉钉服务器会主动调用这个接口,而你的内网需要提供一个固定的公网地址或通过反向代理暴露。
- 如何实现:
- 在钉钉开放平台(open.dingtalk.com)创建“连接器”。
- 配置“触发事件”(用户提交审批单)和“执行动作”(调用内网API创建订单)。
- 你的内网系统需要提供一个可被钉钉公网服务器访问的API地址(通常通过Nginx反向代理或配置公网IP/域名)。
- 钉钉服务器会定期或实时调用这个API。
- 优点:
- 安全性高:钉钉负责鉴权(OAuth 2.0),内网系统只需信任钉钉的请求,无需暴露密码给外部用户。
- 无需VPN:外网用户只需在钉钉内操作,数据流经钉钉安全隧道。
- 零代码/低代码:适合快速打通简单业务逻辑。
- 缺点:主要适用于API接口的调用,不适合直接访问内网页面(如内网网页)。
使用钉钉专有钉钉(针对大型企业,安全级别最高)
如果企业有严格的网络安全合规要求(如金融、政务、军工),需要实现内外网物理隔离下的安全互通。
- 原理:在企业内网部署一套钉钉专有云节点(DingTalk for Government/Enterprise),该节点与企业内网打通,并在企业边界部署安全网关。
- 如何实现:
- 与阿里云/钉钉团队合作,购买专有钉钉服务。
- 在企业机房或私有云上部署钉钉的专有节点。
- 通过专线(如阿里云高速通道)或VPN连接企业内网。
- 员工在内网使用专有钉钉客户端(数据不经过公共互联网)。
- 外网用户(如客户)仍然使用标准钉钉,但通过安全网关和权限控制只能访问特定内网应用。
- 优点:极致安全,数据完全可控,符合等保三级/二级等要求。
- 缺点:成本极其昂贵,部署复杂,通常只有大型组织使用。
使用钉钉酷应用或H5微应用(最通用,适合Web应用)
这是最广泛使用的方案,适合将内网的Web应用(如OA、CRM、BI报表)在钉钉工作台中直接打开。
- 原理:在钉钉工作台创建H5微应用或酷应用,用户点击后,钉钉内嵌浏览器会访问你指定的URL。
- 如何实现:
- 内网应用:需要有一个固定的公网域名或公网IP(可通过Nginx反向代理、FRP内网穿透或云主机部署)。
- 配置微应用:在钉钉开发者后台,将你的应用公网地址(
https://oa.yourcompany.com)设置为应用首页。 - 安全增强:
- 使用HTTPS强制加密。
- 在应用代码中,调用钉钉的 JSAPI (如
dd.ready) 获取当前用户身份(code)。 - 后端验证钉钉返回的
access_token,确保请求来自钉钉。
- 优点:直接复用现有Web系统,用户体验好。
- 缺点:需要公网IP/域名,并需要处理内外网域名解析(访问时通过公网,但数据链路还是经过公网,需要做好防火墙和WAF防护)。
使用内网穿透工具(临时或测试用,不推荐生产)
- 原理:在可以访问内网的机器上运行一个客户端(如FRP、Ngrok),将内网端口映射到公网服务器。
- 如何实现:
- 在内网服务器上启动FRP客户端,在公网服务器上启动FRP服务端。
- 配置映射关系(例如内网
168.1.100:80映射到公网frp.yourcompany.com:8080)。 - 在钉钉微应用设置中,使用这个公网地址。
- 优点:配置简单,不需要公网IP。
- 缺点:
- 安全性极低:所有流量明文经过公网,极易被嗅探和攻击。
- 稳定性差:依赖穿透工具和带宽。
- 建议:仅用于开发调试,绝对不要用于生产环境。
使用专线/VPN + 钉钉网关(混合方案)
- 原理:内网部署服务器,通过专线(如阿里云高速通道)连接到云上的钉钉网关或API网关,钉钉的请求通过专线进入内网。
- 如何实现:
- 在阿里云上部署一个API网关或Nginx。
- 通过专线(物理线路)连接阿里云和你的机房。
- 钉钉微应用配置API网关的公网地址。
- API网关将请求通过专线转发到内网服务器。
- 优点:网络延迟低,稳定,安全性较高(专线不经过公网)。
- 缺点:成本较高,需要专线基础设施。
总结与决策建议
| 方案 | 适用场景 | 优点 | 缺点 | 推荐指数 |
|---|---|---|---|---|
| 钉钉连接器 | API接口调用、低代码应用 | 安全、易用、无需VPN | 不适合页面访问 | ⭐⭐⭐⭐⭐ |
| H5微应用 | 已有内网Web系统迁移到钉钉 | 通用性强、体验好 | 需要公网IP、需处理安全 | ⭐⭐⭐⭐ |
| 专有钉钉 | 大型企业、高安全等级 | 极致安全、数据可控 | 成本极高、部署复杂 | ⭐⭐⭐ |
| 内网穿透 | 开发测试 | 配置简单 | 不安全、不稳定 | ⭐(不推荐生产) |
| 专线+网关 | 混合云部署、低延迟 | 低延迟、稳定 | 成本高 | ⭐⭐⭐⭐ |
最佳实践建议:
- 如果你有后端开发能力:首选 方式一(连接器) + 方式三(H5微应用),用连接器处理API交互,用H5微应用展示内网页面。
- 如果你是中小企业且预算有限:直接用 方式三(H5微应用),为你的内网应用购买一台云服务器(或使用阿里云/NAT网关),配置一个域名和HTTPS证书,再配置好防火墙(只放行钉钉的IP范围)。
- 如果你有严格合规要求:请务必联系钉钉销售团队咨询 方式二(专有钉钉)。
无论选择哪种方式,一定要做好以下几点安全措施:
- HTTPS:所有通信必须使用HTTPS。
- IP白名单:在防火墙或应用层面,只允许钉钉官方IP网段(可在钉钉帮助中心查到)访问你的内网API。
- 身份验证:在应用入口处,必须验证用户是否来自钉钉且拥有合法身份(使用钉钉的OAuth 2.0或免登授权)。
- 数据加密:敏感数据在传输和存储时都要加密。
标签: 网络互通
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
