1. 概述
1.1 问题描述
企业微信官方通知:自建及代开发应用安全性升级
时间:企业微信将针对自建及代开发应用进行安全性升级。升级于 2022 年 6 月 20 日开始灰度,2022 年 6 月 28 日全量发布。
1.2 问题影响
企业微信发布的 自建及代开发应用安全性升级 公告中有3点说明,但是对我们微信集成插件(属于企业微信自建应用)有影响的只有前两点,且 只有新创建的自建应用 才受到影响(历史已创建的不受影响)。
2. 通讯录同步和自建应用需配置企业可信IP
通知说明:新创建的自建应用需要配置企业可信IP,才能调用企业微信的接口。
产生的影响:
对于新创建的自建应用,如果没有配置企业可信IP,在企业微信集成插件上会添加不上应用。错误码为:11205017,如下图所示:
接口报错:60020,访问IP不在白名单之中。
解决方案:
登录企业微信后台,选择「应用管理」,选择对应的应用,设置「企业可信IP」。
如果客户遇到添加 IP,提示是第三方服务商IP(实际不是),需要找企业微信客服验证一下企业可信IP,如下图所示:
获取企业可信IP方式如下:
已配置代理服务器:代理服务器的 IP
未配置代理服务器:报表服务器的 IP
如何通过域名找到 IP ?
Windows 环境:
1)远程客户的「报表环境所在服务器」,在浏览器中(推荐使用 Chrome)输入以下地址:
https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=微信企业ID&corpsecret=微信应用secret
2)获取到 accesstoken 后,访问地址:
https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=刚刚获取的token
会看到 errcode 为 60020 ,后面的 IP 即为需要添加的工程可信 IP。
Linux 环境:若客户服务器为 Linux ,可以 curl 一下,URL 都一样。
注:linux curl 时的 & 符号需要加 \ 转义。
3. 获取成员敏感信息调整
通知说明:
除通讯录同步和历史已创建的自建应用外,通过客户联系、微信客服、打卡、审批等企业微信基础 secret 访问成员信息相关接口时,将不再返回员工个人敏感信息,包括:头像、性别、手机号、邮箱、企业邮箱、地址和员工企业微信二维码。
产生的影响:
对于新创建的自建应用,访问单点链接,会单点失败,也就是出现登录界面。
原因:企业微信在 userId 换取用户信息的接口中,不再返回手机号码和邮箱信息,无法通过手机号或邮箱匹配完成单点登录。此外,通讯录不再显示邮箱信息。
解决方案:更新最新版微信管理插件:微信管理
11.0版本号:11.0.66.2
10.0版本号:10.5.15.2
最终效果:
新创建的自建应用,成员敏感信息需要成员在登录应用时自主授权。如下图所示: