将AD域数据同步到钉钉

IDaaS 可以全面打通 AD 到钉钉的身份数据同步链路：当 AD 的用户/组织数据有变动时，自动变更钉钉通讯录数据。通过该能力，企业可以将 AD 作为传统的身份管控来源，并自动地向钉钉以及其他下游应用同步身份数据，实现“一处修改，处处生效”的效果。

一、开通 IDaaS 实例

步骤1 访问 阿⾥云 IDaaS 管理控制台。也可通过产品与服务导航，定位到应⽤身份服务，单击进⼊应⽤身份服务管理控制台。

步骤2 点击免费创建实例。

步骤3 填写实例名称，勾选阿里云产品服务协议,点击创建完成实例创建。

二、AD 数据同步到 IDaaS

更多 AD 相关的配置和用法请参考： 绑定AD

第一步：绑定AD

步骤1 点击访问控制台进入实例。

步骤2 在快速入门界面点击【绑定AD】。

步骤3 在【连接AD】界面中，输入 AD 域信息

• 显示名称：用户在登录、使用 IDaaS 时可能看到。

• 服务器地址：AD 所在的服务器地址，AD 一般使用 389 端口，如 127.0.0.1:389。开启 ldaps 或 StartTLS 时一般使用 636 端口。

• ldaps/StartTLS：开启后可以大幅提高连接的安全性，推荐开启。请在 AD安全性配置 中了解如何开启。

• 出口IP：如果您希望只有 IDaaS 可以请求该 AD，请在服务器中配置 IP 白名单。

• 管理员账户：IDaaS 使用该 AD 管理员账户读取 AD 信息来完成数据同步或委托认证，该账户需要至少拥有读权限，支持使用 UPN 格式（example@example.com）和 DN 格式（cn=admin,ou=技术部，dc=example，dc=com）。

• 管理员密码：该账户的登录密码。

第二步：选择场景

选择希望和 AD 实现的场景能力。

• 同步方向：同步来源所选的 AD 的用户/组织数据将会导入到 IDaaS 的这个节点之下。来源节点需要填写 AD 节点的 DN，AD 根节点的 DN 一般为 dc=example,dc=com（即您的域）（例如：示例来源ou为AD_Test-0730，则完整填写进行匹配：ou=AD_Test-0730,dc=idsmanager,dc=cn）。

• 增量同步：IDaaS 将监听 AD 的用户/组织数据，每 10 分钟左右将有变动的数据导入到 IDaaS 中。

  • 您可以在字段映射中设置映射标识，使用 IDaaS 账户的某个字段（如手机号）与 AD 用户的某个字段（如手机号）进行匹配，如果匹配成功，将绑定并覆盖更新，否则将创建 IDaaS 账户。

  • 在首次进行增量同步时，将自动执行一次全量同步。

  • 如果单条账户数据无法导入，不影响其他数据导入。

  • 失败信息可在【同步日志】中查看。

  • 需要开启 AD 回收站才可接收 AD 删除类型的事件的消息。请在 增量同步中了解如何开启。

• 委托认证：用户可以使用 AD 账号登录到 IDaaS，

• 自动更新密码：用户通过 AD 委托认证到 IDaaS 时，如果 IDaaS 账户的密码为空，则更新为 AD 账号的密码。AD 密码需满足 IDaaS 密码策略的要求，否则将无法自动更新。

高级配置

• 用户/组织ObjectClass：通过 ObjectClass 可以定义哪种类型的对象是用户/组织，例如将查询结果中 ObjectClass=user 的对象视作用户。一般无需修改。

• 用户登录标识：用户在使用 AD 委托认证登录 IDaaS 时，IDaaS 将根据这些属性去 AD 中查询用户并匹配密码，密码正确则允许用户登录 IDaaS。可以使用半角逗号对多个属性进行分割，此时为或关系，即可以使用任一属性登录。请确保多个属性对应同一个 AD 用户，否则将无法登录。

第三步：字段映射

通过字段映射将AD 用户/组织和 IDaaS 账户/组织绑定，使用 AD 中用户的某些数据作为 IDaaS 账户的数据，例如将 AD 用户的手机号作为 IDaaS 账户的账户名。

如果确认字段映射的配置准确，可以选择【保存并同步】，此时将执行一次全量同步，将所选的AD数据同步到IDaaS；如果您暂不确定字段映射的配置是否准确，可以选择【仅保持】，后续在该身份提供方的【修改配置】-【字段映射】中修改。

第四步：开始同步

在第四步中选择【保存并同步】或选择仅保存后在【身份提供方】界面点击【触发同步】。

完成同步后，在账户界面即可看到同步完成的账户。

​

三、IDaaS 数据同步到钉钉

更多 AD 相关的配置和用法请参考： 绑定钉钉-出方向

第一步：绑定钉钉

在【快速入门】或【身份提供方】菜单中，点击【快速绑定钉钉】，选择【出方向】，即可开始快速绑定钉钉-出方向流程。

第二步：创建应用

在创建应用界面填写信息。

• 显示名：用户在登录、使用 IDaaS 时可能看到。

• CorpId：在 钉钉开放平台-首页获取。

• AppKey/AppSecret。

在 钉钉开放平台-企业内部开发中创建应用。

在应用详情页获取AppKey/AppSecret

将回调域名以及应用首页地址填写至钉钉。

• 回调域名：填写到应用详情中的登录与分享-回调域名。该字段用于钉钉扫码登录，如果不填写将无法使用钉钉扫码登录到 IDaaS。

• 应用首页地址：填写到应用详情中的登录与分享-回调域名。配置该字段后，用户在钉钉控制台点击该应用时（在版本管理与发布中可以设置应用的可见范围），可以单点登录到 IDaaS 应用门户。

• 如果您希望只有 IDaaS 可以请求该钉钉应用，请在该钉钉应用页面的【开发管理】中填写服【务器出口IP】：112.124.239.96,112.124.239.101,112.124.239.100,112.124.239.99,112.124.239.98,112.124.239.97,112.124.239.105,112.124.239.104,112.124.239.103,112.124.239.10

第三步：分配权限

请在 钉钉开放平台-企业内部开发中进入应用详情，在【权限管理】中分配【通讯录管理】和【应用管理】的全部权限，授权范围选择【全部员工】。

完成授权后，在 IDaaS 中点击【下一步】按钮，IDaaS 将检查该应用是否拥有钉钉通讯录管理权限，检查通过则完成了配置。

第四步：选择场景

选择希望和钉钉实现的场景能力。

• 同步方向：同步来源所选的 IDaaS 的账户/组织数据将会导入到钉钉的这个节点之下。【目标节点】需要填写钉钉部门 ID，可以在 钉钉管理后台中编辑部门时可以看到，钉钉根部门的 ID 默认为 1。

• 增量同步：启用后，当 IDaaS 账户/组织数据有变动时，将实时将变动数据同步到钉钉通讯录中。导出到钉钉的用户，IDaaS 会根据第四步【字段映射】中的【映射标识】与钉钉用户进行匹配（可在字段映射中自定义规则），如果匹配成功，将覆盖更新，否则将创建用户。

• 钉钉扫码登录：勾选后，会在【登录】菜单中创建【钉钉扫码登录】，并处于启用状态，用户可直接扫码登录。

第五步：字段映射

通过字段映射将IDaaS 账户/组织和钉钉用户/部门绑定，使用IDaaS中账户的某些数据作为钉钉用户的数据，例如将IDaaS账户的显示名作为钉钉用户的姓名。

IDaaS 默认支持钉钉的名称、手机号、邮箱、职位、工号等字段值的自定义，如果您需要使用其他字段（比如办公地点），您可以【添加字段】。

• 字段名称：仅在 IDaaS 中显示使用。

• 字段标识：需要使用钉钉字段名称，在当前身份提供方中唯一。以上图为例，办公地点的字段标识是work_place。

如果确认字段映射的配置准确，可以选择【保持，且立即同步】，此时将执行一次全量同步，将第三步所选的 IDaaS 数据同步到钉钉；如果您暂不确定字段映射的配置是否准确，可以选择【仅保持，暂不同步】，后续在该身份提供方的【修改配置-字段映射】中修改。

同步后，如果员工暂未加入钉钉企业，会存在用户同步报错情况，只需受邀用户同意后便可加入钉钉组织。

注意：

• 如果需要使用 IDaaS 账户登录专属钉，钉钉用户的 userid 字段必须使用 IDaaS 账户的 userid 字段。

• 如果对应手机号未注册钉钉，则会发送短信通知，如下图所示：

​

​