使用AD/LDAP/IDaaS账户登录专属钉钉

本文介绍如何通过IDaaSAD/LDAP 的账户/组织数据同步到专属钉钉,并使用AD/LDAP/IDaaS账户登录到专属钉钉。

场景说明

如果您已使用专属钉钉,通过IDaaS EIAM公有云版本(云身份服务)的标准能力即可实现如下场景:

  • 数据同步:将AD/LDAP等账户/组织数据同步到专属钉钉,自动变更钉钉通讯录,实现上下游数据的一致。

  • 单点登录:使用AD/LDAP/IDaaS等账户登录到专属钉钉(需开通专属钉钉的专属账号模块)。

  • 应用免登:扩展钉钉免登能力,将IDaaS支持的应用快速集成到钉钉工作台,实现工作台免登。

除此之外,IDaaS EIAM私有化版本可以很好地满足更深度的产品或服务需求,例如:

  • 深度集成专属钉钉:需要与专属钉钉在身份体系上更深度地集成,例如联动专属钉钉的登录态/密码/角色、使用Kerberos/API进行认证等。

  • 复杂身份管理:正在使用多套身份体系(如HR、OA、IAM 等),需要系统地进行梳理和治理,以满足复杂的身份管理场景。

  • 其他需求:需要定制产品能力、完全的交付服务、部署到内网或通过零信任组件打通内网等。

欢迎加入阿里云IDaaS服务群(钉钉群号:33328593),获取更多信息。

流程说明

使用AD/LDAP/IDaaS登录到专属钉钉时,本质上是专属钉钉作为IDaaS的一个应用,用户使用IDaaS账户登录专属钉钉。因此您依然可以使用IDaaS的认证能力,包括多种登录方式、二次认证、密码策略、登录页面等等。下图以AD为例展示该流程。

image

管理员操作步骤

以下文档适用于IDaaS EIAM公有云版本(云身份服务)。

在正式开始之前,您需要先创建IDaaS实例,请参考文档:1.免费开通实例

一、同步现有身份数据到IDaaS

如果您使用的是IDaaS标准支持的身份提供方,您只需通过页面配置,即可实现上游身份数据和IDaaS身份数据的同步。

如果您使用的是HR/OA/IAM/自建应用,您可以视情况选择不同的方案。

  • 如果您希望自主开发实现,您可以自行接入IDaaS应用的DeveloperAPI,直接将身份数据导入IDaaS。请参考文档:应用开发API说明

  • 如果您希望由IDaaS团队代为处理,有两种私有化方案。

    • 同步组件私有化:如果您的身份体系比较单一,请选用IDaaS的同步组件-Connector。将该组件私有化部署到您的内网后,即可将数据同步到IDaaS。

    • IDaaS私有化:如果您的身份体系比较复杂,需要系统地进行梳理和治理,请选用IDaaS私有化版本。该版本支持深度、灵活的身份管控能力和定制开发。

加入阿里云IDaaS服务群(钉钉群号:33328593),可联系我们获取IDaaS私有化的更多信息。

二、同步IDaaS身份数据到专属钉钉

IDaaS的身份数据同步到专属钉钉后,即可完成企业上游身份数据(如AD/LDAP)和专属钉钉通讯录数据的联动,实现一处修改,处处生效的效果。

IDaaS数据同步到专属钉钉请参考文档:绑定钉钉-出方向

在绑定钉钉-出方向的流程中,专属钉钉的配置有如下注意事项:

1、在创建应用的钉钉版本中,选择专属版钉钉

image

2、在字段映射步骤中,钉钉用户的userid字段涉及到专属钉钉的登录,建议使用IDaaS userIdusername作为字段值。本文档的步骤三中有详细说明。

image

三、创建IDaaS应用

IDaaS已经预集成了专属钉钉应用,您只需简单操作,即可完成专属钉钉的单点登录配置。

参考文档:专属钉钉SSO

四、设置登录方式

您可以在IDaaS实例的登录中,设置不同的登录方式(如AD、LDAP、IDaaS账户密码、IDaaS短信验证码等)、二次认证策略和密码策略。参考文档:登录方式二次认证密码策略

说明

在钉钉移动端环境中将隐藏钉钉登录方式选项。

如果您希望用户使用AD/LDAP账户进行登录,可以在ADLDAP身份提供方中进行自定义,使用userPrincipalNamesAMAccountNameuidmail等字段作为登录名进行登录。参考文档:AD个性化配置LDAP个性化配置

您也可以对IDaaS登录页进行个性化配置,此页面将在用户登录专属钉钉时展示。参考文档:企业信息

用户登录步骤

完成上述管理员操作步骤后,用户即可使用AD/LDAP/IDaaS账户登录到专属钉钉。专属钉钉PC端、APP端、WEB端均可使用该方式登录,本节以专属钉钉PC端为例演示登录流程。

一、点击专属账号登录

打开钉钉PC端,单击专属账号登录

image

二、输入组织代码

输入组织代码,单击下一步,即可跳转到IDaaS登录页。在按钮的右下方有组织代码的获取方式。

image

三、输入账户密码

IDaaS登录页中输入账户密码,管理员可以设置默认登录方式,如下图所示默认使用企业的AD账号密码登录;也可在下方切换为其他登录方式。单击登录后可能需要进行IDaaS的二次认证。

image

四、绑定手机号

首次登录时,您需要在专属钉钉中绑定手机号,完成绑定后即可进入专属钉钉界面、使用相关功能。

image