本文介绍如何通过IDaaS将AD/LDAP 的账户/组织数据同步到专属钉钉,并使用AD/LDAP/IDaaS账户登录到专属钉钉。
场景说明
如果您已使用专属钉钉,通过IDaaS EIAM公有云版本(云身份服务)的标准能力即可实现如下场景:
数据同步:将AD/LDAP等账户/组织数据同步到专属钉钉,自动变更钉钉通讯录,实现上下游数据的一致。
单点登录:使用AD/LDAP/IDaaS等账户登录到专属钉钉(需开通专属钉钉的专属账号模块)。
应用免登:扩展钉钉免登能力,将IDaaS支持的应用快速集成到钉钉工作台,实现工作台免登。
除此之外,IDaaS EIAM私有化版本可以很好地满足更深度的产品或服务需求,例如:
深度集成专属钉钉:需要与专属钉钉在身份体系上更深度地集成,例如联动专属钉钉的登录态/密码/角色、使用Kerberos/API进行认证等。
复杂身份管理:正在使用多套身份体系(如HR、OA、IAM 等),需要系统地进行梳理和治理,以满足复杂的身份管理场景。
其他需求:需要定制产品能力、完全的交付服务、部署到内网或通过零信任组件打通内网等。
欢迎加入阿里云IDaaS服务群(钉钉群号:33328593),获取更多信息。
流程说明
使用AD/LDAP/IDaaS登录到专属钉钉时,本质上是专属钉钉作为IDaaS的一个应用,用户使用IDaaS账户登录专属钉钉。因此您依然可以使用IDaaS的认证能力,包括多种登录方式、二次认证、密码策略、登录页面等等。下图以AD为例展示该流程。
管理员操作步骤
以下文档适用于IDaaS EIAM公有云版本(云身份服务)。
在正式开始之前,您需要先创建IDaaS实例,请参考文档:1.免费开通实例
一、同步现有身份数据到IDaaS
如果您使用的是IDaaS标准支持的身份提供方,您只需通过页面配置,即可实现上游身份数据和IDaaS身份数据的同步。
将AD数据同步到IDaaS:绑定AD。
将OpenLDAP数据同步到IDaaS:绑定OpenLDAP。
如果您使用的是HR/OA/IAM/自建应用,您可以视情况选择不同的方案。
如果您希望自主开发实现,您可以自行接入IDaaS应用的DeveloperAPI,直接将身份数据导入IDaaS。请参考文档:应用开发API说明。
如果您希望由IDaaS团队代为处理,有两种私有化方案。
同步组件私有化:如果您的身份体系比较单一,请选用IDaaS的同步组件-Connector。将该组件私有化部署到您的内网后,即可将数据同步到IDaaS。
IDaaS私有化:如果您的身份体系比较复杂,需要系统地进行梳理和治理,请选用IDaaS私有化版本。该版本支持深度、灵活的身份管控能力和定制开发。
加入阿里云IDaaS服务群(钉钉群号:33328593),可联系我们获取IDaaS私有化的更多信息。
二、同步IDaaS身份数据到专属钉钉
将IDaaS的身份数据同步到专属钉钉后,即可完成企业上游身份数据(如AD/LDAP)和专属钉钉通讯录数据的联动,实现一处修改,处处生效的效果。
将IDaaS数据同步到专属钉钉请参考文档:绑定钉钉-出方向。
在绑定钉钉-出方向的流程中,专属钉钉的配置有如下注意事项:
1、在创建应用的钉钉版本中,选择专属版钉钉。
2、在字段映射步骤中,钉钉用户的userid
字段涉及到专属钉钉的登录,建议使用IDaaS userId或username作为字段值。本文档的步骤三中有详细说明。
三、创建IDaaS应用
IDaaS已经预集成了专属钉钉应用,您只需简单操作,即可完成专属钉钉的单点登录配置。
参考文档:专属钉钉SSO。
四、设置登录方式
您可以在IDaaS实例的登录中,设置不同的登录方式(如AD、LDAP、IDaaS账户密码、IDaaS短信验证码等)、二次认证策略和密码策略。参考文档:登录方式,二次认证,密码策略。
在钉钉移动端环境中将隐藏钉钉登录方式选项。
如果您希望用户使用AD/LDAP账户进行登录,可以在AD或LDAP身份提供方中进行自定义,使用userPrincipalName
、sAMAccountName
、uid
、mail
等字段作为登录名进行登录。参考文档:AD个性化配置,LDAP个性化配置。
您也可以对IDaaS登录页进行个性化配置,此页面将在用户登录专属钉钉时展示。参考文档:企业信息。
用户登录步骤
完成上述管理员操作步骤后,用户即可使用AD/LDAP/IDaaS账户登录到专属钉钉。专属钉钉PC端、APP端、WEB端均可使用该方式登录,本节以专属钉钉PC端为例演示登录流程。
一、点击专属账号登录
打开钉钉PC端,单击专属账号登录。
二、输入组织代码
输入组织代码,单击下一步,即可跳转到IDaaS登录页。在按钮的右下方有组织代码的获取方式。
三、输入账户密码
在IDaaS登录页中输入账户密码,管理员可以设置默认登录方式,如下图所示默认使用企业的AD账号密码登录;也可在下方切换为其他登录方式。单击登录后可能需要进行IDaaS的二次认证。
四、绑定手机号
首次登录时,您需要在专属钉钉中绑定手机号,完成绑定后即可进入专属钉钉界面、使用相关功能。