连接您的企业身份系统,让员工使用企业账号直接登录邮箱。
该功能仅AI尊享版支持,版本差异请参考版本介绍。
身份源配置会影响所有用户的登录方式,配置人员需具备相关专业知识,请谨慎操作。
身份认证对接
若企业期望员工通过企业统一的身份认证系统登录邮箱,可以通过身份认证对接达到目的。简化员工登录流程,避免记录多份账号密码,提高工作效率。
在此流程中,企业身份认证系统,本质上是身份源提供商(Identity Provider,简称 IdP)。
通过企业 IdP 登录的流程
在配置好对接信息后,邮箱通过企业 IdP 登录的流程如下:
跳转:员工访问企业的邮箱定制登录地址,邮箱会自动跳转到企业 IdP 的登录页面;
请求:员工在企业登录页输入企业账号和密码并提交;
验证:企业 IdP 验证用户身份;
授权:验证用户身份之后,浏览器携带临时凭证发送给邮箱服务器,邮箱服务器使用此凭证从企业 IdP 换取该员工的邮箱账号,授权此邮箱账号,登录成功。
支持的企业 IdP 类型
目前阿里邮箱已支持如下认证相关的标准协议:
Microsoft Active Directory(AD)
OIDC
OAuth
企业 IdP 必须严格按照协议实现。若企业 IdP 是使用的第三方成熟产品,如阿里云 IDaas、Authing、Okta 等,存在不兼容的可能性。建议先尝试配置,如确认配置正确但仍然出现报错,可以联系邮箱售后服务,我们会尝试进行针对性的优化,支持更多的第三方 IDaas。
企业 IdP 类型的选择
先明确对接的目标,是想要接管邮箱认证的全部?还是仅账号密码校验?
若企业 IdP 没有登录页,只是想接管邮箱的账号密码校验,选择 AD 认证
若企业 IdP 有登录页,且希望接管邮箱的全部登录流程,包括账密校验、高危风险拦截、二次验证(手机短信)等,需要进一步判断,选择 OIDC 或者 OAuth 认证
其次明确当前企业 IdP 已具备的能力
若企业 IdP 具备 OIDC 能力,对接 OIDC 认证
若企业 IdP 具备 OAuth 能力,优先判断是否能进一步开发增强支持 OIDC,可以则优先选择对接 OIDC 认证,不行则选择 OAuth 认证
若企业 IdP 目前不具备 OIDC、OAuth 能力,建议直接实现 OIDC 认证并进行对接
企业身份源集成
配置流程
1、配置准备
当前支持OIDC、Microsoft AD及OAuth,如身份源为OIDC或OAuth,需要在邮箱侧完成若干前置准备。
选择应用
2、配置连接参数
填写服务器、认证信息等连接配置
3、启用身份源
确认无误后启用,所有用户将使用新的登录方式