本文为您介绍如何通过IDaaS应用管控功能,帮您实现阿里云邮箱的单点登录以及企业数据变更的同步。

背景信息

某些公司将阿里云邮箱作为企业的专用邮箱,日常工作中,阿里云邮箱作为企业内部员工、合作伙伴、供应商以及客户之间的沟通应用,登录频次高且要求数据实时更新同步。
  • 阿里云邮箱使用频次高,登录繁琐且耗时长。
  • 在员工离职、合作终止等情况发生时,如果信息同步不及时,邮箱权限收回不及时,易造成公司信息泄露等风险;

解决方案

通过应用身份服务的应用管控(Application)功能,集中管控阿里云邮箱,实现快捷的单点登录并实时同步企业数据。

操作步骤

  1. 新增阿里邮箱应用并进行配置

    其中,appCode,appSecret 用于单点登录,accessCode ,accessPassword 用于组织机构及账户的接口同步。

    以上四个值需向阿里邮箱相关同学(可以工单咨询阿里邮箱)进行申请(通过邮件申请)。

    同时,需要把服务器的出口IP提供给阿里邮箱的工作人员,并将其添加到阿里邮箱的白名单后才可以进行正常数据同步。

    “本系统根OU外部id”为IDaaS的rootOU的外部id,管理员可以在账户及组中点击rootOU的“查看详情”中获取。

  2. 启用阿里邮箱应用并查看详情,获取同步组织机构和账户的地址 。

  3. 启用阿里邮箱应用详情中的API,并获取APIKey和APISecret 。

  4. 把该阿里邮箱应用授权给组织机构,组织机构下的用户就可以获得该应用的权限。

  5. 给该应用配置SCIM

    组织机构和账户的同步都需要配置

    1. SCIM同步地址使用上面步骤2在应用详情中获取的同步地址
    2. oauth_url是IDaaS用户侧地址后加/oauth/token,见下图
    3. client_id是应用API获取的API Key,见步骤3
    4. client_secret是应用API获取的API Secret,见步骤3

  6. 将已授权的账户邮箱格式改为阿里格式的邮箱: 想要将账户成功同步到阿里邮箱,用户申请或者管理员添加需要在IDaaS中填写该账户的邮箱,并且邮箱后缀为阿里邮箱格式,如“@wdcy.cc”。

  7. 同步组织机构到阿里邮箱

  8. 同步账户到阿里邮箱

    从IDaaS同步成功的组织和账户,会在阿里邮箱下图位置进行展示。

  9. 用户登录IDaaS,点击阿里邮箱应用,申请将用户的邮箱添加为子账户。

  10. 管理员在审批中心下的子账户审批中对该账户添加子账户操作进行审批,并同意申请。

若以上步骤全部成功完成,用户即可在用户首页点击阿里邮箱图标进行访问。

点击上图图标,免密登录到阿里邮箱。