绑定钉钉-入方向

实现场景

IDaaS 中有【身份提供方】概念,用于管理企业常见的、现有的身份系统和 IDaaS 之间的联动。

钉钉作为阿里云产品,和 IDaaS 之间有着天然的集成,绑定钉钉的配置流程非常简单,您只需要扫码并授权,2 分钟即可完成绑定。通过极其简便的配置可实现如下能力:

分类

实现能力

账户

  • 将钉钉通讯录全量同步到 IDaaS

  • 监听钉钉通讯录事件,增量同步有变动的数据到 IDaaS

  • 全量或增量同步数据到钉钉(请看绑定钉钉-出方向

登录

  • 钉钉扫码登录 IDaaS 或 IDaaS 中的应用

应用

  • 在钉钉工作台单点登录到 IDaaS 中的应用

  • 在钉钉工作台自动创建单点登录到 IDaaS 中的应用(暂不支持)

绑定钉钉的两种方案

您可以在【身份提供方】菜单中,将钉钉添加为 IDaaS 的身份提供方,并在过程中开启所有相关能力。

针对从钉钉导入数据的场景,IDaaS 支持两种方案:

方案

说明

三方应用方案(快速绑定钉钉)

采用钉钉三方企业应用方案,扫码授权即可完成配置。

优势:

  • 配置极简,开通方便。

说明

配置过程无需您填写任何信息,仅需扫码授权,即可全部配置完成。

劣势:

  • 无法批量获取到用户的手机号和邮箱,需管理员填写或用户在登录时授权。

一方应用方案(钉钉高级配置)

在三方应用方案的基础上,需要钉钉管理员创建钉钉一方应用,开放对应权限,并将信息配置到 IDaaS。

优势:

  • 权限灵活,可获取到完整的用户信息。

劣势:

  • 配置周期较长。

快速绑定钉钉

在【快速入门】或【身份提供方】菜单中,点击【快速绑定钉钉】,即可开始快速绑定钉钉-入方向流程。快速绑定钉钉

第一步:选择场景

在第一步中,选择希望和钉钉实现的场景能力,若无偏好,可直接下一步。

第一步

能力说明

  • 同步目标:钉钉的通讯录数据将会导入到 IDaaS 的这个节点之下。

  • 增量同步:启用后,IDaaS 调用钉钉接口,监听钉钉通讯录事件。钉钉通讯录有变动,可实时将变动数据同步到 IDaaS 中。

    • 您可以在字段映射中设置映射标识,使用 IDaaS 账户的某个字段(如手机号)与钉钉用户的某个字段(如手机号)进行匹配,如果匹配成功,将覆盖更新,否则将创建 IDaaS 账户。

    • 建议在增量同步前进行一次全量同步,否则部分数据可能会同步失败。

    • 如果单条账户数据无法导入,不影响其他数据导入。

    • 失败信息可在【同步日志】中查看。

  • 钉钉扫码登录:勾选后,会在【登录】菜单中创建【钉钉扫码登录】,并处于启用状态,可直接扫码登录。

  • 触发一次全量同步:勾选后,将在完成绑定后导入钉钉通讯录授权范围内的全部数据。

第二步:扫码开通

在第二步中,请钉钉管理员扫描二维码,为钉钉企业开通【阿里云 IDaaS】三方免费应用。

第二步

钉钉扫码后,将跳转到应用开通页面,如下图所示完成开通流程。开通应用

说明

在完成绑定后,如需调整同步到 IDaaS 的钉钉通讯录范围,请在 钉钉管理后台-应用管理 中的【阿里云IDaaS】应用中调整,IDaaS 在同步时以该应用的授权范围为准。image.png

第三步:扫码绑定

最后第三步,请钉钉管理员在【阿里云 IDaaS】应用中点击【钉钉管理员扫码绑定】按钮,扫描第三步中的二维码并确认,即可完成绑定。此时IDaaS 会根据配置执行全量同步或增量同步,钉钉用户也可以扫码登录 IDaaS。第三步

管理钉钉身份提供方

绑定钉钉后,会自动跳转到【身份提供方】菜单中。您可在此处对与身份提供方联动的不同功能进行管理。管理IDP

查看导入状态

  • 导入提示:若您绑定时选择了【同步通讯录 - 导入 IDaaS】,那么会在页面上提示【正在导入中...】。点击【查看详情】,即可跳转到【同步任务】中查看进度。

  • 手机号/邮箱缺失处理:同步完成后,会在【身份提供方】页面进行提示。导入进来的账户即可使用钉钉扫码登录 IDaaS 或应用。但刚导入的账户缺失手机号/邮箱,我们会建议用户补充手机号/邮箱,否则包含二次认证、找回密码等相关功能将不可用。详情查看:钉钉扫码登录

修改同步目标

如果需要修改同步目标,请在修改后手动触发全量同步,核对组织架构是否符合预期。

钉钉扫码登录

  • 若您绑定时选择【钉钉扫码登录 - 启用】,IDaaS 会在【登录】菜单中创建钉钉扫码登录方式。您可以在【身份提供方】或【登录】菜单中对功能进行管理。用户可以前往登录页进行钉钉扫码登录。详情查看:钉钉扫码登录

绑定多个钉钉

IDaaS 支持绑定多个钉钉通讯录,只需用不同的钉钉企业管理员,按照上述扫码开通流程即可完成。

多企业管理的情况下,您可能希望不同企业账户同步到不同的目标节点,以作区分。例如希望将钉钉企业 A 和企业 B 通讯录导入 IDaaS 中统一管理,我们建议您先在 IDaaS 组织架构根节点下,创建 A 组织和 B 组织,并在绑定钉钉时,指定企业 A 同步到组织 A,企业 B 到组织 B。

但反过来,一个钉钉企业只能绑定一个 IDaaS 实例。若您同一个钉钉企业绑定多个 IDaaS 实例的需求,请等待后续版本更新支持。

开启钉钉高级配置

完成绑定钉钉后,可以按需在身份提供方页开启钉钉高级配置,开启高级配置后可以获取到完整的钉钉用户信息。

说明

如果您使用的是专属钉钉并开启了专属账号功能,由于专属钉钉的安全性设计,IDaaS 将无法获取到专属账号下的手机号。如需使用手机号,需要管理员在控制台添加或员工在应用门户手动补充。

高级配置

第一步:选择场景

在第一步中,目前暂不开放配置能力,可直接下一步。第一步

第二步:创建应用

在第二步中需要将钉钉中的应用信息配置到 IDaaS 中。第二步

登录 钉钉开放平台-企业内部开发,点击【创建应用】,填写企业内部应用的基本信息。

创建应用image.png

完成创建后,将自动跳转到钉钉的应用详情页。依次将 AppKey 和 AppSecret 复制粘贴到 IDaaS 中。

image.png

完成填写后,点击【连接钉钉】,IDaaS 将测试和钉钉的连接,如果所填信息正确,则可以进入下一步。第二步

第三步:分配权限

在第三步中,您需要在当前的钉钉应用中分配权限。点击【权限管理】,分别在【通讯录管理】和【应用管理】中勾选全部权限,并点击【批量申请】。

image.png

权限范围请选择【全部员工】。如需调整同步到 IDaaS 的钉钉通讯录范围,请在 钉钉管理后台-应用管理 中的【阿里云IDaaS】应用中调整,IDaaS 在同步时以该应用的授权范围为准。

完成授权后,在 IDaaS 中点击【确认已授权】按钮,IDaaS 将检查该应用是否拥有钉钉通讯录管理权限,检查通过则完成了配置,此时 IDaaS 即可获取员工手机号、邮箱等信息。第三步

说明

如果您希望只有 IDaaS 可以请求该钉钉应用,请在该钉钉应用页面的【开发管理】中填写【服务器出口IP】:

112.124.239.96,112.124.239.101,112.124.239.100,112.124.239.99,112.124.239.98,112.124.239.97,112.124.239.105,112.124.239.104,112.124.239.103,112.124.239.102开发管理由于该应用主要用于同步数据而不用于员工日常使用,【应用首页地址】填写任意地址即可。

第四步:调整字段映射(可选)

如果您希望将钉钉手机号、邮箱信息作为 IDaaS 账户的用户名、手机号等,或者将手机号相同的钉钉用户与 IDaaS 账户进行绑定,可以在 字段映射 中进行配置。