文档

在钉钉工作台单点登录到应用

更新时间:

本文介绍如何将 IDaaS 中的应用集成到钉钉工作台,实现应用在钉钉工作台的单点登录(免登)。

场景说明

IDaaS 支持标准的 SAML、OIDC 等认证协议,可以快速实现数百款应用的单点登录。通过本文档,您可以将已经完成单点登录配置的 IDaaS 中的应用集成到钉钉工作台,实现应用在钉钉的免登。

操作步骤

步骤一:创建钉钉身份提供方

在正式开始应用配置之前,需要先创建钉钉身份提供方,实现 IDaaS 账户数据和钉钉用户数据的绑定。您可以:

建议将钉钉扫码登录设置为默认登录方式:用户在钉钉工作台点击应用时,将自动实现免登。否则用户需要手动在 IDaaS 登录页中切换为钉钉登录,或者 IDaaS 已经是登录状态,才可实现钉钉工作台免登。

image

步骤二:创建 IDaaS 应用

创建 IDaaS 应用,并配置单点登录,以阿里云用户 SSO 为例。

参考文档:阿里云用户 SSO

步骤三:授权 IDaaS 应用

将 IDaaS 应用授权给需要访问该应用的账户,可在【单点登录】中设置为全员可访问,也可在【授权】中根据账户或组织授权。只有拥有权限的账户才可访问应用。

image

如果对接的是 SAML 应用(例如阿里云 RAM),可在【单点登录】中设置【应用账户】。用户在进行单点登录时,IDaaS 会将用户的 IDaaS 账户名或应用账户名传递给应用,应用根据该参数找到应用内的账户并实现登录,从而实现单点登录。因此,如果应用中有存量账户,请检查能否和 IDaaS 账户对应;如果无法对应,请提前为用户在应用中创建账户。

更多信息可参考:单点登录通用说明

步骤四:拼接应用地址

拼接应用的登录地址,格式为:https://{IDaaS 用户门户地址}/login/go/{IDaaS 应用 ID}

其中,IDaaS 用户门户地址从 IDaaS 实例列表页或实例内获取,如下图所示。

imageimage

IDaaS 应用 ID 在 IDaaS 实例内的【应用】模块中获取,如下图所示。

image

拼接后,即可获取应用地址,如:

https://bm6sxxxx.aliyunidaas.com/login/go/app_mmhsgpkmsxxxxxxxxxxxxxxxx

步骤五:创建钉钉应用

前往钉钉开放平台,在【应用开发】中创建【企业内部应用】。

imageimage

以阿里云为例,填写应用名称等基本信息。

image

将步骤二中拼接的应用地址填写到钉钉应用的【开发管理】中,如下图所示。其中 PC 地址选填,填写后才可在钉钉 PC 端工作台中打开。

image

步骤六:授权钉钉应用

在完成测试和体验后,将该钉钉应用正式发布。

image

完成发布后即可设置应用的权限范围,可向全部员工、部分员工、仅管理员授权,其中在【部分员工】选项中可授权到用户、组织或角色。

image

完成授权后,管理员可以在钉钉中为部分员工或全部员工设置应用入口。员工也可自行添加到自己的工作台中。用户在工作台点击应用图标,即可实现免登。

image

此时的逻辑是:IDaaS 根据用户的钉钉找到 IDaaS 中的账户,再根据 IDaaS 账户找到应用中的账户,从而实现应用的免密码登录。