一种企业微信内自建应用安全访问的解决方案

在企业级集成中，有些场景比较棘手，如：如何在保持内网应用物理隔离的同时，无缝对接企业微信的身份认证体系？

本期我们将关注一种轻量级应用边缘网络访问方案-ZeroNews企业网关，在企业微信集成中的使用实践。

ZeroNews 的思路是通过安全网关+应用级隧道和解耦的 IAM 架构，实现简单的接入体验。用户侧不需要所有人额外安装客户端。

关键步骤：

步骤一：注册ZeroNews 企业账号，并添加企业域名

ZeroNews用户控制中心--自有域名，此处可以提交企业自己的域名

步骤二：企业微信上创建自有应用

登录企业微信管理后台--应用管理--创建应用，此步骤最关键的是要完成应用域名的校验。因为企微对自建应用的域名，必须满足可信域名的要求，即使用的域名，必须是认证企业自己域名，或关联企业的域名。

步骤三：ZeroNews用户控制台，创建应用访问隧道

步骤二完成域名审核后，即可在平台创建应用的安全隧道，并成功获取隧道访问地址。

步骤四：部署ZeroNews IAM并完成配置

在IAM平台，创建基于应用的访问连接器，并可以同步企微的通讯录，并根据角色控制访问权限。

在配置中，也可以设置在浏览器，企业微信扫码登录访问。

配置时，会涉及到企微的一些信息，如Corp ID，应用的AgentID等。

步骤五：测试访问

可以针对不同角色添加授权，测试从企业微信里面访问应用，和浏览器扫码访问应用，看是否允许或被拒。

方案要点：

安全性：数据安全如何得到保障？

除了隧道本身的加密外，ZeroNews提供了端到端的TLS方案，私钥可以部署在上游应用端，这样便不用担心数据泄密问题。IAM服务部署在企业自己的服务器，企业通讯录也不会外泄。

便捷性：企业维护成本怎样？

这套方案的优势，就是轻量化，基于应用，对企业现有网络零侵入。

同时，所有配置操作都是可视化管理，几乎不涉及纯技术，即使产品经理，也可以一人完成配置，极大的降低了企业维护的门槛和成本。

员工体验：员工无需安装访问客户端

所有访问应用的用户，无需安装任何 APK 或证书。只需在企微中点击应用，网关会自动处理基于 SNI 的路径匹配与身份重定向。被授权的访问用户，在企微里感受不到任何多余步骤。

实现逻辑

身份映射: 将企微的 OAuth2.0 回调地址映射到 ZeroNews 提供的 CNAME 域名。

流量管理: 在边缘网关层配置访问策略，仅允许来自企业微信 IP 段或持有特定 JWT 令牌的请求进入隧道。

QoS 管理: 可以为不同的内部应用，分配独立的带宽配额，确保关键业务的体验不受干扰。

这套网关方案的最大的优点是轻量，体验好，管理成本低，如果你的企业也有类似场景痛点，不妨体验一下。