本文介绍绑定企业微信的操作步骤和常见用法。
实现场景
绑定企业微信后,您可以使用下述能力。
分类 | 实现能力 |
账户 |
|
登录 |
|
开始前准备
企业微信出于安全考虑,调用通讯录、身份校验接口时需要校验可信域名和可信 IP,其中一个可信 IP 仅能用于企业微信中的一个企业,如果用于多个企业将被认定为服务商,从而导致通讯录、身份校验等接口不可用。
为了满足企业微信的安全要求,您需要提前准备如下内容:
校验项 | 准备内容 |
可信域名 | 一个专用的域名,该域名的所属主体需和企业微信中的认证主体相同,建议提前配置为 IDaaS EIAM 实例的自定义域名。详见:自定义域名 |
可信 IP | IDaaS EIAM 实例中需要至少拥有一个可用的专属端点。IDaaS EIAM 将通过您的专属公网出口 IP 访问企业微信。详见:网络端点 | 配置专属公网出口 IP |
绑定企业微信
在【身份提供方】菜单中,点击【其他身份提供方】-【企业微信】,即可开始绑定流程。
如果当前实例没有可用的专属端点,则需先添加专属端点。更多信息请了解:网络端点
第一步:创建应用
1、您需要在 IDaaS EIAM 中填写以下信息:
显示名称:用户在登录、使用 IDaaS EIAM 时可能看到。
企业ID:请在企业微信管理后台中的【我的企业】获取。
AgentId:
请在企业微信管理后台中创建【企业自建应用】。
请注意:创建应用中所选择的【可见范围】,即是使用 IDaaS EIAM 进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员)。您将在下述步骤中再次确认这些信息。
在应用详情中获取 AgentId。
Secret:
在应用详情中点击查看 Secret。
在弹窗中确认发送后,即可根据提示在企业微信中查看。
2、【域名类型】将影响您可以使用的企业微信的能力,以及下方【开发信息】的生成。不同域名类型的区别如下:
自备域名 | 自定义域名 | |
功能区别 | 仅能使用非敏感数据同步和扫码登录。 | 除了非敏感数据同步和扫码登录之外,还支持敏感数据同步和网页授权登录(即工作台免登)。 |
配置区别 | 准备一个专用的域名作为可信域名(该域名的所属主体需和企业微信中的认证主体相同),该域名在 IDaaS EIAM 中无任何业务逻辑;【开发信息】中的其余地址默认生成。 | 选择一个可用的自定义域名(该域名的所属主体需和企业微信中的认证主体相同),该域名涉及企业微信各项功能的使用,需保证其稳定可用;【开发信息】中的其余地址均通过您所选择的自定义域名生成。 |
3、以【域名类型】使用自定义域名为例,您还需要将以下开发信息填写到企业微信中:
可信域名:
在企业微信管理后台的应用中,点击【设置可信域名】。
填写作为应用 OAuth2 网页授权功能的可信域名。请注意,企业微信要求配置的可信域名必须对应企业主体,且与协议头/链接路径无关。
通过校验后,您需要根据企业微信的指引,完成域名的归属认证。
企业可信IP:
您需要使用网络端点的专属公网访问(操作文档:配置专属公网出口 IP),实现 IDaaS EIAM 实例使用您的 IP 访问企业微信。
在 IDaaS EIAM 的配置界面中,选择网络端点,查看专属公网出口 IP。
即可看到该实例可以使用的公网 IP。点击【一键复制所有 IP】。
在企业微信管理后台的应用中,将复制的 IP 配置为的企业可信 IP。
- 重要
IDaaS EIAM 所使用的企业微信的所有接口,均通过可信 IP 调用。如果可信 IP 配置不准确或不可用,将影响企业微信数据同步和扫码登录等所有功能。由于企业微信可信 IP 的校验逻辑未具体公开,您还应保留账户密码或短信验证码等其他方式登录IDaaS。
授权回调域:
在 IDaaS EIAM 的配置界面中,复制授权回调域。
在企业微信管理后台的应用中,设置企业微信授权登录。
在【Web 网页】中,设置授权回调域。
如果【域名类型】为自定义域名,您还需要在应用详情页中设置应用主页地址(网页)。该地址是在企业微信工作台免登后进入的地址。
完成上述配置后,即可点击【下一步】,进入后续流程。
第二步:分配权限
在第二步中,根据指引调整【可见范围】。可见范围即是使用 IDaaS EIAM 进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员,不包含标签)。如果进行数据同步,可见范围将作为同步的来源节点。
第三步:选择场景
在第三步中,选择希望使用的场景能力。
能力说明
同步目标:企业微信的通讯录数据将会导入到 IDaaS 的这个节点之下。
定时校验:由于企业微信不支持查询增量数据,IDaaS 将于每日凌晨自动全量同步企业微信来源节点下的全量数据。
您可以在字段映射中设置映射标识,使用 IDaaS 账户的某个字段(如账户名)与企业微信用户的某个字段(如 userid)进行匹配,如果匹配成功,将绑定并覆盖更新;否则将创建 IDaaS 账户。
如果需要及时同步数据,请手动触发全量同步。
IDaaS 内置了同步保护能力, 当 30 个以上的账户或 10 个以上的组织需要被删除时,自动取消同步任务,以防止数据被误删除。建议根据企业规模调整同步保护设置。
扫码登录:开启后,会在【登录】菜单中创建【企业微信扫码登录】,并处于启用状态,可直接扫码登录。
网页授权登录:【域名类型】使用【自定义域名】时默认开启,开启后将支持在企业微信工作台免登到 IDaaS EIAM 或应用,并支持授权后进行敏感数据同步。
获取敏感数据需由用户在企业微信环境中进入 IDaaS EIAM 手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为 IDaaS EIAM 账户的手机、邮箱。
第四步:字段映射
如果您在 IDaaS 中已存在存量数据,需要企业微信成员/部门和 IDaaS 账户/组织绑定,或者希望使用企业微信中成员的某些字段数据作为 IDaaS 账户的数据,例如将企业微信成员的别名作为 IDaaS 账户的显示名,则需要在第四步配置字段映射。
企业微信中的账号 ID(即 userid)如果是由系统自动生成的,将允许被修改一次。由于此字段是 IDaaS 能唯一依赖的主键,如果该字段被修改,将导致对应的 IDaaS 账户被删除并重新创建,请谨慎修改。
管理企业微信身份提供方
完成绑定后,会自动跳转到【身份提供方】菜单中。您可在此处对与身份提供方联动的不同功能进行管理。
重要提醒
扫码登录注意事项
企业微信扫码登录依赖【授权回调域】的配置。具体来说,您的用户在访问 IDaaS EIAM 或应用时如果需要登录,浏览器中 IDaaS EIAM 登录页的域名、IDaaS EIAM 企业微信身份提供方中的授权回调域、企业微信中配置的授权回调域三者必须完全一致,否则将无法使用企业微信扫码登录。
因此,如果您希望用户通过自定义域名访问 IDaaS EIAM,建议将自定义域名设置为默认域名(详见:修改默认域名)、开启自动跳转功能,并将 IDaaS EIAM 和企业微信中的授权回调域均设置为自定义域名。
敏感数据同步注意事项
获取敏感数据需由用户在企业微信环境中进入 IDaaS EIAM 手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为 IDaaS EIAM 账户的手机、邮箱。
用户进行手动授权后,30 天内再次进入企业微信应用页面不会再弹出授权页。若 30 天内用户需要修改个人敏感信息授权,可进入企业微信应用(即在绑定身份提供方时在企业微信中创建的应用)详情页的“个人敏感信息授权管理”页面,重新更改个人敏感信息授权。
除了用户手动授权,管理员也需在企业微信的【我的企业 - 通讯录管理 - 成员资料显示】中检查是否已设置所需的手机号、邮箱等敏感数据的展示,IDaaS EIAM 只能获取用户授权且管理员设置显示的用户敏感数据。
预留其他登录方式
阿里云 IDaaS 将尽最大努力保证您的企业微信通讯录数据同步、身份验证的可用性,但是由于企业微信的可信域名、可信 IP 等校验方式和风险管控等规则并未具体公开,阿里云无法保证您能持续、稳定地通过企业微信账号登录 IDaaS。
为避免企业微信不可用时无法登录 IDaaS,您还应保留账户密码或短信验证码等其他方式登录IDaaS。如您未采用其他方式登录,导致无法登录,因此造成的损失,由您自行担责。
请在登录方式中了解其他登录方式的配置和使用。
- 本页导读 (0)