本文介绍如何实现 AD 域的身份数据自动同步到钉钉。
IDaaS 可以全面打通 AD 到钉钉的身份数据同步链路:当 AD 的用户/组织数据有变动时,自动变更钉钉通讯录数据。通过该能力,企业可以将 AD 作为传统的身份管控来源,并自动地向钉钉以及其他下游应用同步身份数据,实现“一处修改,处处生效”的效果。
本文介绍的所有 IDaaS 能力均可免费使用。
一、开通 IDaaS 实例
步骤1 访问 阿⾥云 IDaaS 管理控制台。也可通过产品与服务导航,定位到应⽤身份服务,单击进⼊应⽤身份服务管理控制台。
步骤2 点击免费创建实例。
步骤3 填写实例名称,勾选阿里云产品服务协议,点击创建完成实例创建。
二、AD 数据同步到 IDaaS
更多 AD 相关的配置和用法请参考: 绑定AD
第一步:绑定AD
步骤1 点击访问控制台进入实例。
步骤2 在快速入门界面点击【绑定AD】。
步骤3 在【连接AD】界面中,输入 AD 域信息
显示名称:用户在登录、使用 IDaaS 时可能看到。
服务器地址:AD 所在的服务器地址,AD 一般使用 389 端口,如 127.0.0.1:389。开启 ldaps 或 StartTLS 时一般使用 636 端口。
ldaps/StartTLS:开启后可以大幅提高连接的安全性,推荐开启。请在 AD安全性配置 中了解如何开启。
出口IP:如果您希望只有 IDaaS 可以请求该 AD,请在服务器中配置 IP 白名单。
管理员账户:IDaaS 使用该 AD 管理员账户读取 AD 信息来完成数据同步或委托认证,该账户需要至少拥有读权限,支持使用 UPN 格式(example@example.com)和 DN 格式(cn=admin,ou=技术部,dc=example,dc=com)。
管理员密码:该账户的登录密码。
第二步:选择场景
选择希望和 AD 实现的场景能力。
同步方向:同步来源所选的 AD 的用户/组织数据将会导入到 IDaaS 的这个节点之下。来源节点需要填写 AD 节点的 DN,AD 根节点的 DN 一般为 dc=example,dc=com(即您的域)(例如:示例来源ou为AD_Test-0730,则完整填写进行匹配:ou=AD_Test-0730,dc=idsmanager,dc=cn)。
增量同步:IDaaS 将监听 AD 的用户/组织数据,每 10 分钟左右将有变动的数据导入到 IDaaS 中。
您可以在字段映射中设置映射标识,使用 IDaaS 账户的某个字段(如手机号)与 AD 用户的某个字段(如手机号)进行匹配,如果匹配成功,将绑定并覆盖更新,否则将创建 IDaaS 账户。
在首次进行增量同步时,将自动执行一次全量同步。
如果单条账户数据无法导入,不影响其他数据导入。
失败信息可在【同步日志】中查看。
需要开启 AD 回收站才可接收 AD 删除类型的事件的消息。请在 增量同步中了解如何开启。
委托认证:用户可以使用 AD 账号登录到 IDaaS,
自动更新密码:用户通过 AD 委托认证到 IDaaS 时,如果 IDaaS 账户的密码为空,则更新为 AD 账号的密码。AD 密码需满足 IDaaS 密码策略的要求,否则将无法自动更新。
高级配置
用户/组织ObjectClass:通过 ObjectClass 可以定义哪种类型的对象是用户/组织,例如将查询结果中 ObjectClass=user 的对象视作用户。一般无需修改。
用户登录标识:用户在使用 AD 委托认证登录 IDaaS 时,IDaaS 将根据这些属性去 AD 中查询用户并匹配密码,密码正确则允许用户登录 IDaaS。可以使用半角逗号对多个属性进行分割,此时为或关系,即可以使用任一属性登录。请确保多个属性对应同一个 AD 用户,否则将无法登录。
第三步:字段映射
通过字段映射将AD 用户/组织和 IDaaS 账户/组织绑定,使用 AD 中用户的某些数据作为 IDaaS 账户的数据,例如将 AD 用户的手机号作为 IDaaS 账户的账户名。
如果确认字段映射的配置准确,可以选择【保存并同步】,此时将执行一次全量同步,将所选的AD数据同步到IDaaS;如果您暂不确定字段映射的配置是否准确,可以选择【仅保持】,后续在该身份提供方的【修改配置】-【字段映射】中修改。
第四步:开始同步
在第四步中选择【保存并同步】或选择仅保存后在【身份提供方】界面点击【触发同步】。
完成同步后,在账户界面即可看到同步完成的账户。
三、IDaaS 数据同步到钉钉
更多 AD 相关的配置和用法请参考: 绑定钉钉-出方向
第一步:绑定钉钉
在【快速入门】或【身份提供方】菜单中,点击【快速绑定钉钉】,选择【出方向】,即可开始快速绑定钉钉-出方向流程。
第二步:创建应用
在创建应用界面填写信息。
显示名:用户在登录、使用 IDaaS 时可能看到。
CorpId:在 钉钉开放平台-首页获取。
AppKey/AppSecret。
在 钉钉开放平台-企业内部开发中创建应用。
在应用详情页获取AppKey/AppSecret
将回调域名以及应用首页地址填写至钉钉。
回调域名:填写到应用详情中的登录与分享-回调域名。该字段用于钉钉扫码登录,如果不填写将无法使用钉钉扫码登录到 IDaaS。
应用首页地址:填写到应用详情中的登录与分享-回调域名。配置该字段后,用户在钉钉控制台点击该应用时(在版本管理与发布中可以设置应用的可见范围),可以单点登录到 IDaaS 应用门户。
如果您希望只有 IDaaS 可以请求该钉钉应用,请在该钉钉应用页面的【开发管理】中填写服【务器出口IP】:112.124.239.96,112.124.239.101,112.124.239.100,112.124.239.99,112.124.239.98,112.124.239.97,112.124.239.105,112.124.239.104,112.124.239.103,112.124.239.10
第三步:分配权限
请在 钉钉开放平台-企业内部开发中进入应用详情,在【权限管理】中分配【通讯录管理】和【应用管理】的全部权限,授权范围选择【全部员工】。
完成授权后,在 IDaaS 中点击【下一步】按钮,IDaaS 将检查该应用是否拥有钉钉通讯录管理权限,检查通过则完成了配置。
第四步:选择场景
选择希望和钉钉实现的场景能力。
同步方向:同步来源所选的 IDaaS 的账户/组织数据将会导入到钉钉的这个节点之下。【目标节点】需要填写钉钉部门 ID,可以在 钉钉管理后台中编辑部门时可以看到,钉钉根部门的 ID 默认为 1。
增量同步:启用后,当 IDaaS 账户/组织数据有变动时,将实时将变动数据同步到钉钉通讯录中。导出到钉钉的用户,IDaaS 会根据第四步【字段映射】中的【映射标识】与钉钉用户进行匹配(可在字段映射中自定义规则),如果匹配成功,将覆盖更新,否则将创建用户。
钉钉扫码登录:勾选后,会在【登录】菜单中创建【钉钉扫码登录】,并处于启用状态,用户可直接扫码登录。
建议使用小范围的数据(或非生产环境)进行测试验证,完成验证后再扩大节点范围,以免因配置有误影响钉钉的数据。
第五步:字段映射
通过字段映射将IDaaS 账户/组织和钉钉用户/部门绑定,使用IDaaS中账户的某些数据作为钉钉用户的数据,例如将IDaaS账户的显示名作为钉钉用户的姓名。
IDaaS 默认支持钉钉的名称、手机号、邮箱、职位、工号等字段值的自定义,如果您需要使用其他字段(比如办公地点),您可以【添加字段】。
字段名称:仅在 IDaaS 中显示使用。
字段标识:需要使用钉钉字段名称,在当前身份提供方中唯一。以上图为例,办公地点的字段标识是work_place。
如果确认字段映射的配置准确,可以选择【保持,且立即同步】,此时将执行一次全量同步,将第三步所选的 IDaaS 数据同步到钉钉;如果您暂不确定字段映射的配置是否准确,可以选择【仅保持,暂不同步】,后续在该身份提供方的【修改配置-字段映射】中修改。
同步后,如果员工暂未加入钉钉企业,会存在用户同步报错情况,只需受邀用户同意后便可加入钉钉组织。
注意:
如果需要使用 IDaaS 账户登录专属钉,钉钉用户的 userid 字段必须使用 IDaaS 账户的 userid 字段。
如果对应手机号未注册钉钉,则会发送短信通知,如下图所示: