IDaaS:应用身份服务

SP:服务提供者,指第三方业务系统

指导说明

本文为二级引导文章,主要帮助用户指导 IDaaS 数据初始化,和下游业务系统数据同步的全流程。

目的是让客户更清晰的做出数据同步的规划,和正确的找到对应的操作文档。

常用的操作文档如下:

SP 同步至 IDaaS

IDaaS 同步至 SP

IDaaS 同步的数据有哪些

IDaaS 的数据同步主要有 3 类,组织机构信息、人员账户信息和用户组信息

1)组织机构:包括机构名称,机构编码,父级机构编码等

2)人员账户包括账户名称,显示名称,手机号,邮箱,外部 ID(唯一标志)

3)用户组包括组名称,组编码,父级机构编码,组成员等

更多详细的同步数据请参阅 IDaaS 数据同步 API 标准

数据同步三大环节

环节一:确定数据流向

在开始数据同步之前,我们首先需要规划整体的数据同步流向。

  • 谁是数据源,数据产生者(上游是谁)?
  • 下游该同步给哪些业务系统(下游是谁)?

作为数据源,我们要确保唯一,做到一处修改,处处生效,这不仅有利于公司的整体身份中台建设规划,解决身份信息孤岛问题,同时也为后续更多新上线的业务系统,打下身份数据的基础。

经典数据同步场景

1)IDaaS 作为数据源( IDaaS -> SP)

IDaaS 作为数据源是,当进行数据的增、删、改等操作都会实时同步至业务系统。通常情况下,为保障数据的一致性,避免数据混乱,业务系统和 IDaaS 只做单项同步对接。

2)第三方业务系统作为主数据源 (SP -> IDaaS -> SP)

IDaaS 同时也支持钉钉、AD、OA、HR 等业务系统作为数据源进行数据同步。通过和 IDaaS 的打通,集中收集数据,然后再推送给业务系统。做到一处修改,处处生效。

环节二:初始化IDaaS

当我们已经梳理好数据流程和明确数据源后,我们就需要开始初始化 IDaaS 了。当前我们支持 4 种初始化方式,具体流程如下

1)IDaaS 作为数据源:我们推荐使用表格导入的方式进行数据初始化。

详细操作文档,请参考:Excel 表格导入到 IDaaS

2)钉钉作为数据源:在 IDaaS 中我们已经预集成了钉钉的数据同步,只需要配置,即可将钉钉的部门数据,账户数据拉取到 IDaaS 中。

详细操作文档,请参考: 钉钉 同步到 IDaaS

3)AD 作为数据源在 IDaaS 中我们已经预集成了基于 LDAP 的数据同步,只需要配置,即可将AD、或openLDAP 的部门数据,账户数据拉取到 IDaaS 中。

详细操作文档,请参考:LDAP 同步到 IDaaS

4)第三方业务系统作为数据源:为方便集成第三方业务系统的数据,IDaaS 已经整理好一系列 API 接口供 SP 调用。开发前可以使用 postman 等接口调用工具进行测试体验。

详细接口标准及调用方法,请参考:IDaaS 数据同步 API 标准

环节三:下游业务系统同步

IDaaS 的初始化工作完成之后,我们就开始进入第三个环节,给下游业务系统的数据同步工作了 。

具体流程如下图

1)IDaaS 同步至钉钉:在 IDaaS 中,我们已经预集成了与钉钉的数据同步功能。仅需要一些简单的配置工作就能实现数据同步。我们建议先使用测试钉钉组织进行数据同步测试,然后在切换至正式环境配置。

详细操作文档,请参考:IDaaS 同步到钉钉

2)IDaaS 同步至RAM:在 IDaaS 中我们已经预集成了RAM的数据同步,首先我们需要创建 RAM 模板,然后进行同步的配置后,即可将 RAM 同步数据。我们建议先使用测试 RAM 进行数据同步测试,然后在切换至正式环境配置

详细操作文档,请参考: IDaaS 同步到 RAM

3)IDaaS 同步至 AD/LDAP在 IDaaS 中我们已经预集成了基于 LDAP 的数据同步,只需要配置,即可向 AD 或openLDAP 同步部门数据,账户数据。我们建议先使用测试 RAM 进行数据同步测试,然后在切换至正式环境配置

详细操作文档,请参考:IDaaS 同步到 LDAP

4)IDaaS 同步至 SP:IDaaS 给业务系统同步数据,主要使用 SCIM 协议。在这里,业务系统需要基于 SCIM 协议进行数据接收及数据存储逻辑研发。目的就是接收 IDaaS 推送的数据并且正确的存储到各自的数据库表中。业务系统提供同步的 API 接口,配置在 IDaaS 中,我们建议先使用测试环境进行数据同步测试,然后在切换至正式环境配置

详细数据同步 SCIM 接口标准及对接过程,请参考:数据同步 SCIM 标准