泛微 eteams SSO

本文为您介绍如何在 IDaaS 中配置泛微公共云 eteams 单点登录。

操作步骤

一、创建 IDaaS 应用

请管理员前往【应用】【应用市场】，搜索到【泛微 eteams】应用模板。确认应用名后，即可完成添加流程。

添加后，会自动来到 SSO 配置页。

配置 SSO

您需要在配置页修改两个参数。

1. 登录 Redirect URI：您需要从 eteams 的【统一认证接入管理】配置页获取该地址。

2. 授权范围：可暂时选择【全员可访问】。若希望指定可访问应用的 IDaaS 账户，请参考应用授权进行配置。

点击【保存】即可完成全部 SSO 配置。

在表单下方的【应用配置信息】中，有 4 个端点信息。在后续步骤中，您将需要在 eteams 中填入这些端点。

二、在 eteams 中配置 SSO

2.1 配置 SSO

请 eteams 管理员前往后台管理中心。

通过左侧菜单栏，前往【集成中心】【统一认证接入管理】，点击启用，并在【认证方式】中选择【OAuth2 集成】。

填写表单。

模块	填写说明
基本信息	回调地址：复制到 IDaaS 应用中的【登录 Redirect URI 中】。 应用标识：复制 IDaaS 应用的 client_id。 应用密钥：复制 IDaaS 应用的 client_secret
请求用户授权接口	接口地址：复制 IDaaS 应用的授权端点。 请求方式：GET 取值字段：code 参数设置：如下图。 client_id: ${client_id} response_type: code redirect_uri: ${redirect_uri} scope: openid email
获取授权 Token 接口	接口地址：复制 IDaaS 应用的令牌端点。 请求方式：POST 解析格式：JSON 取值字段：access_token 参数设置：如下图。 【Header】Content-Type: application/x-www-form-urlencoded client_id: ${client_id} client_secret: ${client_secret} grant_type: authorization_code code: ${code} redirect_uri: ${redirect_uri}
获取用户信息接口	接口地址：复制 IDaaS 应用的用户端点。 请求方式：POSTGET 解析格式：JSON 账号规则：电子邮箱 取值字段：email 参数设置：如下图。 access_token: ${access_token}
统一退出接口（选填）	接口地址：复制 IDaaS 应用的 SLO 端点。 请求方式：GET

最终填写效果如下图。

2.2. 申请域名白名单

出于泛微对安全性的考量，您需要和泛微申请将 IDaaS 实例的域名加入白名单，才能发起 SSO 请求。

​

请您将 IDaaS 中【授权端点】和【令牌端点】地址提供给泛微的支持团队，申请添加白名单。可能会有半天到一天的等待时间。

单点登录配置已全部完成。不过，为了能够顺利测试，您还需要进行额外一步：确保 IDaaS 中账户可以顺利映射到泛微的账户中。

2.3. 确认账户映射

在上一步中，我们在泛微 eteams 中配置账号规则为【电子邮箱】，意味着 eteams 会从 IDaaS 用户端点的 email 字段中取值，并与 eteams 通讯录中的账号邮箱进行匹配。

​

因此，您需要确保 IDaaS 有可登录账号，且其邮箱与 eteams 中的某一账号是一致的。为了方便，您也可通过管理员账号完成测试。

​

在泛微中，您可以在【组织架构设置】中邀请新同事，或对现有账号进行管理。

在 IDaaS 中，您可参考 创建账户 文档对账户进行管理。

三、尝试 SSO

您已经可以尝试泛微 eteams SSO。

1. 访问地址

请您复制泛微 eteams 的登录页地址。可通过【界面配置中心】【登录页设置】，点击【eteams 默认风格】后从界面中复制。

访问该登录地址，泛微会检测到该请求需要 IDaaS 认证，若 IDaaS 尚未登录，则会自动跳转到 IDaaS 登录页。

2. 进行认证

请使用在 eteams 中有邮箱对应的 IDaaS 账户进行登录。

​

您可使用 IDaaS 中支持和配置的多种登录方式，进行登录，包括短信验证码、钉钉扫码、AD 身份登录等，同时管理员可以在 IDaaS 中开启多因素认证 MFA，以加强认证安全性。

3. 认证成功！

登录完成后，浏览器会回调到刚才尝试访问的地址中，展示对应结果，意味着认证成功。

​

​