本文介绍如何将IDaaS中的应用集成到钉钉工作台,实现应用在钉钉工作台的单点登录(免登)。
场景说明
IDaaS支持标准的SAML、OIDC等认证协议,可以快速实现数百款应用的单点登录。通过本文档,您可以将已经完成单点登录配置的 IDaaS 中的应用集成到钉钉工作台,实现应用在钉钉的免登。
操作步骤
步骤一:创建钉钉身份提供方
在正式开始应用配置之前,需要先创建钉钉身份提供方,实现IDaaS账户数据和钉钉用户数据的绑定。您可以:
建议将钉钉扫码登录设置为默认登录方式:用户在钉钉工作台单击应用时,将自动实现免登。否则用户需要手动在IDaaS登录页中切换为钉钉登录,或者IDaaS已经是登录状态,才可实现钉钉工作台免登。
步骤二:创建IDaaS应用
创建IDaaS应用,并配置单点登录,以阿里云用户SSO为例。
参考文档:阿里云用户SSO
步骤三:授权IDaaS应用
将IDaaS应用授权给需要访问该应用的账户,可在单点登录中设置为全员可访问,也可在授权中根据账户或组织授权。只有拥有权限的账户才可访问应用。
如果对接的是SAML应用(例如阿里云RAM),可在单点登录中设置应用账户。用户在进行单点登录时,IDaaS会将用户的IDaaS账户名或应用账户名传递给应用,应用根据该参数找到应用内的账户并实现登录,从而实现单点登录。因此,如果应用中有存量账户,请检查能否和IDaaS账户对应,如果无法对应,请提前为用户在应用中创建账户。
更多信息可参考:单点登录通用说明
步骤四:拼接应用地址
拼接应用的登录地址,格式为:https://{IDaaS用户门户地址}/login/go/{IDaaS应用ID}
其中,IDaaS用户门户地址从IDaaS实例列表页或实例内获取,如下图所示。
IDaaS应用ID在IDaaS实例内的应用模块中获取,如下图所示。
拼接后,即可获取应用地址,如:
https://bm6sxxxx.aliyunidaas.com/login/go/app_mmhsgpkmsxxxxxxxxxxxxxxxx
步骤五:创建钉钉应用
前往钉钉开放平台,在应用开发中创建企业内部应用。
以阿里云为例,填写应用名称等基本信息。
将步骤二中拼接的应用地址填写到钉钉应用的开发管理中,如下图所示。其中PC地址选填,填写后才可在钉钉PC端工作台中打开。
步骤六:授权钉钉应用
在完成测试和体验后,将该钉钉应用正式发布。
完成发布后即可设置应用的权限范围,可向全部员工、部分员工、仅管理员授权,其中在部分员工选项中可授权到用户、组织或角色。
完成授权后,管理员可以在钉钉中为部分员工或全部员工设置应用入口。员工也可自行添加到自己的工作台中。用户在工作台单击应用图标,即可实现免登。
此时的逻辑是IDaaS根据用户的钉钉找到IDaaS中的账户,再根据IDaaS账户找到应用中的账户,从而实现应用的免密码登录。