本文档介绍如何将阿里云IDaaS与钉钉入方向对接,实现组织架构和用户的同步管理,提升企业身份管理的效率和安全性。
实现场景
IDaaS 中有身份提供方概念,用于管理企业常见的、现有的身份系统和 IDaaS 之间的联动。钉钉作为阿里云产品,和 IDaaS 之间有着天然的集成,绑定钉钉的配置流程非常简单,您只需要扫码并授权,2 分钟即可完成绑定。通过极其简便的配置可实现如下能力:
分类 | 实现能力 |
账户 |
|
登录 |
|
应用 |
|
绑定钉钉的两种方案
您可以在身份提供方菜单中,将钉钉添加为 IDaaS 的身份提供方,并在过程中开启所有相关能力。
针对从钉钉导入数据的场景,IDaaS 支持两种方案:
方案 | 说明 |
三方应用方案(快速绑定钉钉) | 采用钉钉三方企业应用方案,扫码授权即可完成配置。 优势:配置极简,开通方便。 说明 配置过程无需您填写任何信息,仅需扫码授权,即可全部配置完成。 劣势:无法批量获取到用户的手机号和邮箱,需管理员填写或用户在登录时授权。 |
一方应用方案(钉钉高级配置) | 在三方应用方案的基础上,需要钉钉管理员创建钉钉一方应用,开放对应权限,并将信息配置到 IDaaS。 优势:权限灵活,可获取到完整的用户信息。 劣势:配置周期较长。 |
快速绑定钉钉
在快速入门或身份提供方菜单中,点击快速绑定钉钉,即可开始快速绑定钉钉-入方向流程。
第一步:选择场景
在第一步中,选择希望和钉钉实现的场景能力,若无偏好,可直接下一步。
能力说明
同步目标:钉钉的通讯录数据将会导入到 IDaaS 的这个节点之下。
增量同步:启用后,IDaaS 调用钉钉接口,监听钉钉通讯录事件。钉钉通讯录有变动,可实时将变动数据同步到 IDaaS 中。
您可以在字段映射中设置映射标识,使用 IDaaS 账户的某个字段(如手机号)与钉钉用户的某个字段(如手机号)进行匹配,如果匹配成功,将覆盖更新,否则将创建 IDaaS 账户。
建议在增量同步前进行一次全量同步,否则部分数据可能会同步失败。
如果单条账户数据无法导入,不影响其他数据导入。
失败信息可通过查看日志进行查看。
钉钉扫码登录:勾选后,会在登录菜单中创建钉钉扫码登录,并处于启用状态,可直接扫码登录。
触发一次全量同步:勾选后,将在完成绑定后导入钉钉通讯录授权范围内的全部数据。
第二步:扫码开通
在第二步中,请钉钉管理员扫描二维码,为钉钉企业开通阿里云 IDaaS三方免费应用。
钉钉扫码后,将跳转到应用开通页面,完成开通流程。
在完成绑定后,如需调整同步到 IDaaS 的钉钉通讯录范围,请在 钉钉管理后台-应用管理 中的【阿里云IDaaS】应用中调整,IDaaS 在同步时以该应用的授权范围为准。
第三步:扫码绑定
最后第三步,请钉钉管理员在阿里云 IDaaS应用中点击钉钉管理员扫码绑定按钮,扫描第三步中的二维码并确认,即可完成绑定。此时IDaaS 会根据配置执行全量同步或增量同步,钉钉用户也可以扫码登录 IDaaS。
管理钉钉身份提供方
绑定钉钉后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。
查看导入状态
导入提示:若您绑定时选择了同步通讯录 - 导入 IDaaS,那么会在页面上提示正在导入中...。点击【查看详情】,即可跳转到同步任务中查看进度。
手机号/邮箱缺失处理:同步完成后,会在身份提供方页面进行提示。导入进来的账户即可使用钉钉扫码登录 IDaaS 或应用。但刚导入的账户缺失手机号/邮箱,我们会建议用户补充手机号/邮箱,否则包含二次认证、找回密码等相关功能将不可用。详情查看:钉钉扫码登录。
修改同步目标:如果需要修改同步目标,请在修改后手动触发全量同步,核对组织架构是否符合预期。
钉钉扫码登录:若您绑定时选择钉钉扫码登录 - 启用,IDaaS 会在登录菜单中创建钉钉扫码登录方式。您可以在身份提供方或登录菜单中对功能进行管理。用户可以前往登录页进行钉钉扫码登录。详情查看:钉钉扫码登录。
绑定多个钉钉:IDaaS 支持绑定多个钉钉通讯录,只需用不同的钉钉企业管理员,按照上述扫码开通流程即可完成。多企业管理的情况下,您可能希望不同企业账户同步到不同的目标节点,以作区分。例如希望将钉钉企业 A 和企业 B 通讯录导入 IDaaS 中统一管理,我们建议您先在 IDaaS 组织架构根节点下,创建 A 组织和 B 组织,并在绑定钉钉时,指定企业 A 同步到组织 A,企业 B 到组织 B。但反过来,一个钉钉企业只能绑定一个 IDaaS 实例。若您同一个钉钉企业绑定多个 IDaaS 实例的需求,请等待后续版本更新支持。
开启钉钉高级配置
完成绑定钉钉后,可以按需在身份提供方页开启钉钉高级配置,开启高级配置后可以获取到完整的钉钉用户信息。
如果您使用的是专属钉钉并开启了专属账号功能,由于专属钉钉的安全性设计,IDaaS 将无法获取到专属账号下的手机号。如需使用手机号,需要管理员在控制台添加或员工在应用门户手动补充。
第一步:选择场景
在第一步中,目前暂不开放配置能力,可直接下一步。
第二步:创建应用
在第二步中需要将钉钉中的应用信息配置到 IDaaS 中。
登录 钉钉开放平台-企业内部开发,点击创建应用,填写企业内部应用的基本信息。
完成创建后,将自动跳转到钉钉的应用详情页。依次将 AppKey 和 AppSecret 复制粘贴到 IDaaS 中。
完成填写后,点击连接钉钉,IDaaS 将测试和钉钉的连接,如果所填信息正确,则可以进入下一步。
第三步:分配权限
在第三步中,您需要在当前的钉钉应用中分配权限。点击权限管理,分别在通讯录管理和应用管理中勾选全部权限,并点击批量申请。
权限范围请选择全部员工。如需调整同步到 IDaaS 的钉钉通讯录范围,请在 钉钉管理后台-应用管理 中的阿里云IDaaS应用中调整,IDaaS 在同步时以该应用的授权范围为准。
完成授权后,在 IDaaS 中点击确认已授权按钮,IDaaS 将检查该应用是否拥有钉钉通讯录管理权限,检查通过则完成了配置,此时 IDaaS 即可获取员工手机号、邮箱等信息。
如果您希望只有 IDaaS 可以请求该钉钉应用,请在该钉钉应用页面的安全设置中填写服务器出口IP:
112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.***,112.124.***.***,112.124.***.***,112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.****
由于该应用主要用于同步数据而不用于员工日常使用,应用首页地址填写任意地址即可。
第四步:调整字段映射(可选)
如果您希望将钉钉手机号、邮箱信息作为 IDaaS 账户的用户名、手机号等,或者将手机号相同的钉钉用户与 IDaaS 账户进行绑定,可以在字段映射中进行配置。