备案控制台
文档
产品文档
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 实践教程 使用 AD/LDAP/IDaaS 账户登录专属钉钉

使用 AD/LDAP/IDaaS 账户登录专属钉钉

更新时间:
一键部署
提交缺陷
产品详情
相关技术圈
我的收藏

本文介绍如何通过 IDaaS 将 AD/LDAP 的账户/组织数据同步到专属钉钉,并使用 AD/LDAP/IDaaS 账户登录到专属钉钉。

场景说明

如果您已使用专属钉钉,通过 IDaaS EIAM 公有云版本(云身份服务)的标准能力即可实现如下场景:

  • 数据同步:将 AD/LDAP 等账户/组织数据同步到专属钉钉,自动变更钉钉通讯录,实现上下游数据的一致。

  • 单点登录:使用 AD/LDAP/IDaaS 等账户登录到专属钉钉(需开通专属钉钉的专属账号模块)。

  • 应用免登:扩展钉钉免登能力,将 IDaaS 支持的应用快速集成到钉钉工作台,实现工作台免登。

除此之外,IDaaS EIAM 私有化版本可以很好地满足更深度的产品或服务需求,例如:

  • 深度集成专属钉钉:需要与专属钉钉在身份体系上更深度地集成,例如联动专属钉钉的登录态/密码/角色、使用 Kerberos/API 进行认证等。

  • 复杂身份管理:正在使用多套身份体系(如 HR、OA、IAM 等),需要系统地进行梳理和治理,以满足复杂的身份管理场景。

  • 其他需求:需要定制产品能力、完全的交付服务、部署到内网或通过零信任组件打通内网等。

欢迎加入阿里云 IDaaS 服务群(钉钉群号:33328593),获取更多信息。

流程说明

使用 AD/LDAP/IDaaS 登录到专属钉钉时,本质上是专属钉钉作为 IDaaS 的一个应用,用户使用 IDaaS 账户登录专属钉钉。因此您依然可以使用 IDaaS 的认证能力,包括多种登录方式、二次认证、密码策略、登录页面等等。下图以 AD 为例展示该流程。

image

管理员操作步骤

以下文档适用于 IDaaS EIAM 公有云版本(云身份服务)。

在正式开始之前,您需要先创建 IDaaS 实例,请参考文档:1. 免费开通实例

一、同步现有身份数据到 IDaaS

如果您使用的是 IDaaS 标准支持的身份提供方,您只需通过页面配置,即可实现上游身份数据和 IDaaS 身份数据的同步。

如果您使用的是 HR/OA/IAM/自建应用,您可以视情况选择不同的方案。

  • 如果您希望自主开发实现,您可以自行接入 IDaaS 应用的 DeveloperAPI,直接将身份数据导入 IDaaS。请参考文档:应用开发 API 说明

  • 如果您希望由 IDaaS 团队代为处理,有两种私有化方案。

    • 同步组件私有化:如果您的身份体系比较单一,请选用 IDaaS 的同步组件-Connector。将该组件私有化部署到您的内网后,即可将数据同步到 IDaaS。

    • IDaaS 私有化:如果您的身份体系比较复杂,需要系统地进行梳理和治理,请选用 IDaaS 私有化版本。该版本支持深度、灵活的身份管控能力和定制开发。

加入阿里云 IDaaS 服务群(钉钉群号:33328593),可联系我们获取 IDaaS 私有化的更多信息。

二、同步 IDaaS 身份数据到专属钉钉

将 IDaaS 的身份数据同步到专属钉钉后,即可完成企业上游身份数据(如 AD/LDAP)和专属钉钉通讯录数据的联动,实现“一处修改,处处生效”的效果。

将 IDaaS 数据同步到专属钉钉请参考文档:绑定钉钉-出方向

在绑定钉钉-出方向的流程中,专属钉钉的配置有如下注意事项:

1、在 创建应用钉钉版本 中,选择专属版钉钉

image

2、在 字段映射 步骤中,钉钉用户的 userid 字段涉及到专属钉钉的登录,建议使用 IDaaS userId 或 username 作为字段值。本文档的 步骤三 中有详细说明。

image

三、创建 IDaaS 应用

IDaaS 已经预集成了专属钉钉应用,您只需简单操作,即可完成专属钉钉的单点登录配置。

参考文档:专属钉钉 SSO

四、设置登录方式

您可以在 IDaaS 实例的 登录 中,设置不同的登录方式(如 AD、LDAP、IDaaS 账户密码、IDaaS 短信验证码等)、二次认证策略和密码策略。参考文档:登录方式二次认证密码策略

说明

在钉钉移动端环境中将隐藏钉钉登录方式选项。

如果您希望用户使用 AD/LDAP 账户进行登录,可以在 AD 或 LDAP 身份提供方中进行自定义,使用 userPrincipalName、sAMAccountName、uid、mail 等字段作为登录名进行登录。参考文档:AD个性化配置LDAP个性化配置

您也可以对 IDaaS 登录页进行个性化配置,此页面将在用户登录专属钉钉时展示。参考文档:企业信息

用户登录步骤

完成上述管理员操作步骤后,用户即可使用 AD/LDAP/IDaaS 账户登录到专属钉钉。专属钉钉 PC 端、APP 端、WEB 端均可使用该方式登录,本节以专属钉钉 PC 端为例演示登录流程。

一、点击专属账号登录

打开钉钉 PC 端,点击 专属账号登录

image

二、输入组织代码

输入组织代码,点击下一步,即可跳转到 IDaaS 登录页。在按钮的右下方有组织代码的获取方式。

image

三、输入账户密码

在 IDaaS 登录页中输入账户密码,管理员可以设置默认登录方式,如下图所示默认使用企业的 AD 账号密码登录;也可在下方切换为其他登录方式。点击登录按钮后可能需要进行 IDaaS 的二次认证。

image

四、绑定手机号

首次登录时,您需要在专属钉钉中绑定手机号,完成绑定后即可进入专属钉钉界面、使用相关功能。

image

文档推荐
  • 本页导读 (0)
文档反馈