本文为您介绍如何在 IDaaS 中配置专属钉钉单点登录。
应用简介
专属钉钉助力企业打造专属、安全、开放的数字化办公运营平台,定义企业自己的数字化工作学习方式。您可以单点登录到专属钉钉,实现企业身份到钉钉身份的打通。
需开通专属钉钉的专属账号能力。
操作步骤
一、创建应用
请管理员前往【应用】【应用市场】,搜索到专属钉钉应用模板。确认应用名后,即可完成添加流程。
添加后,会自动来到 SSO 配置页。
二、在 IDaaS 中配置 SSO
IDaaS 已经预先完成了专属钉钉的所有 SSO 配置,您只需根据实际业务场景,调整如下配置即可:
1、授权模式 使用 隐式模式,并勾选 id_token。登录 Redirect URI 默认使用:https://login.dingtalk.com/oauth2/oidcCallBack.htm
2、授权范围建议选择 全员可访问。如果只是组织中的部分员工需使用专属钉钉,则可选择 手动授权,并在 授权 中手动授权账户或组织。
3、高级配置中的 扩展 id_token 中必须存在一条 键(key) 是 sub 的数据。在单点登录到专属钉时,专属钉钉将根据 sub 匹配专属钉钉用户的 userid,从而实现登录。
sub 的 值(VALUE) 目前支持两种配置方式:
固定字段匹配:使用 IDaaS 账户中的某个字段与专属钉钉用户 userid 的匹配,从而匹配专属钉钉用户。值的格式为 user.{IDaaS 字段名}(如 :user.userid、user.username),可在高级:账户字段表达式中了解更多信息。此时有两种场景:
由 IDaaS 同步的用户:需与专属钉钉身份提供方 字段映射 中的钉钉字段 userid 的字段值一致。
专属钉钉的存量用户:需保证专属钉钉用户的 userid 和 sub 的值相同。
绑定关系匹配:通过 IDaaS 账户与专属钉钉用户的绑定关系匹配到专属钉钉用户。值的格式为 user.identityProviderUserMap.{idpId}.identityProviderUserId,其中 idpId 字段在 身份提供方 页面获取。
此时有两种场景:由 IDaaS 同步的用户:此时 IDaaS 账户与专属钉钉用户已默认存在绑定关系,无须特殊注意。
专属钉钉的存量用户:通过 字段映射 中的 映射标识 可实现存量账户的绑定,绑定后即可正常使用。可在字段映射中了解更多信息。
如果此字段值配置有误,用户将无法登录专属钉钉。
三、在专属钉钉中配置 SSO
前往钉钉管理后台,登录到专属钉钉管理后台。
在 安全与权限-组织代码登录 中复制或申请组织代码(您的用户需要用这个代码登录专属钉钉),登录方式选择 sso登录。
在 安全与权限-SSO单点登录设置 中填写 IDaaS 应用的相关信息:
配置方式:选择 OIDC协议认证。
配置参数:前往本文档 步骤一 中所创建的 IDaaS 应用
Client ID:在 通用配置 的 client_id 中获取。
Issuer:在 登录访问-单点登录-应用配置信息 的 Issuer 中获取。
Authorization URL:在 登录访问-单点登录-应用配置信息 的 授权端点 中获取。
OpenID Config URL:在 登录访问-单点登录-应用配置信息 的 发现端点 中获取。
四、尝试 SSO
专属钉钉仅支持 SP 发起 SSO,更多信息请查看文档:用户登录步骤。
- 本页导读 (0)