文档

绑定企业微信

更新时间:

本文介绍绑定企业微信的操作步骤和常见用法。

实现场景

绑定企业微信后,您可以使用下述能力。

分类

实现能力

账户

  • 将企业微信通讯录非敏感数据同步到 IDaaS EIAM

  • 将企业微信通讯录敏感数据(手机号、邮箱等)同步到 IDaaS EIAM

登录

  • 使用企业微信扫码登录 IDaaS EIAM 或其中的应用

  • 在企业微信网页授权登录(即工作台免登)到 IDaaS EIAM 或其中的应用

开始前准备

企业微信出于安全考虑,调用通讯录、身份校验接口时需要校验可信域名和可信 IP,其中一个可信 IP 仅能用于企业微信中的一个企业,如果用于多个企业将被认定为服务商,从而导致通讯录、身份校验等接口不可用。

为了满足企业微信的安全要求,您需要提前准备如下内容:

校验项

准备内容

可信域名

一个专用的域名,该域名的所属主体需和企业微信中的认证主体相同,建议提前配置为 IDaaS EIAM 实例的自定义域名。详见:自定义域名

可信 IP

IDaaS EIAM 实例中需要至少拥有一个可用的专属端点。IDaaS EIAM 将通过您的专属公网出口 IP 访问企业微信。详见:网络端点 | 配置专属公网出口 IP

绑定企业微信

在【身份提供方】菜单中,点击【其他身份提供方】-【企业微信】,即可开始绑定流程。

image.png

如果当前实例没有可用的专属端点,则需先添加专属端点。更多信息请了解:网络端点

image.png

第一步:创建应用

1、您需要在 IDaaS EIAM 中填写以下信息:

image.png
  • 显示名称:用户在登录、使用 IDaaS EIAM 时可能看到。

  • 企业ID:请在企业微信管理后台中的【我的企业】获取。image.png

  • AgentId

    • 请在企业微信管理后台中创建【企业自建应用】。image.png

    • 请注意:创建应用中所选择的【可见范围】,即是使用 IDaaS EIAM 进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员)。您将在下述步骤中再次确认这些信息。image.png

    • 在应用详情中获取 AgentId。image.png

  • Secret

    • 在应用详情中点击查看 Secret。image.png

    • 在弹窗中确认发送后,即可根据提示在企业微信中查看。image.png

2、【域名类型】将影响您可以使用的企业微信的能力,以及下方【开发信息】的生成。不同域名类型的区别如下:

自备域名

自定义域名

功能区别

仅能使用非敏感数据同步扫码登录

除了非敏感数据同步扫码登录之外,还支持敏感数据同步网页授权登录(即工作台免登)

配置区别

准备一个专用的域名作为可信域名(该域名的所属主体需和企业微信中的认证主体相同),该域名在 IDaaS EIAM 中无任何业务逻辑;【开发信息】中的其余地址默认生成。

选择一个可用的自定义域名(该域名的所属主体需和企业微信中的认证主体相同),该域名涉及企业微信各项功能的使用,需保证其稳定可用;【开发信息】中的其余地址均通过您所选择的自定义域名生成。

3、以【域名类型】使用自定义域名为例,您还需要将以下开发信息填写到企业微信中:

image.png
  • 可信域名

    • 企业微信管理后台的应用中,点击【设置可信域名】。image.png

    • 填写作为应用 OAuth2 网页授权功能的可信域名。请注意,企业微信要求配置的可信域名必须对应企业主体,且与协议头/链接路径无关。image.png

    • 通过校验后,您需要根据企业微信的指引,完成域名的归属认证。image.png

  • 企业可信IP

    • 您需要使用网络端点的专属公网访问(操作文档:配置专属公网出口 IP),实现 IDaaS EIAM 实例使用您的 IP 访问企业微信。

    • 在 IDaaS EIAM 的配置界面中,选择网络端点,查看专属公网出口 IP。image.png

    • 即可看到该实例可以使用的公网 IP。点击【一键复制所有 IP】。image.png

    • 企业微信管理后台的应用中,将复制的 IP 配置为的企业可信 IP。image.png

    • 重要

      IDaaS EIAM 所使用的企业微信的所有接口,均通过可信 IP 调用。如果可信 IP 配置不准确或不可用,将影响企业微信数据同步和扫码登录等所有功能。由于企业微信可信 IP 的校验逻辑未具体公开,您还应保留账户密码或短信验证码等其他方式登录IDaaS。

  • 授权回调域

    • 在 IDaaS EIAM 的配置界面中,复制授权回调域。image.png

    • 企业微信管理后台的应用中,设置企业微信授权登录。image.png

    • 在【Web 网页】中,设置授权回调域。image.png

    • 如果【域名类型】为自定义域名,您还需要在应用详情页中设置应用主页地址(网页)。该地址是在企业微信工作台免登后进入的地址。image.png

完成上述配置后,即可点击【下一步】,进入后续流程。

第二步:分配权限

在第二步中,根据指引调整【可见范围】。可见范围即是使用 IDaaS EIAM 进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员,不包含标签)。如果进行数据同步,可见范围将作为同步的来源节点。

image.png

第三步:选择场景

在第三步中,选择希望使用的场景能力。

42055df6e82f27aba96c9c3c5d954565.png

能力说明

  • 同步目标:企业微信的通讯录数据将会导入到 IDaaS 的这个节点之下。

  • 定时校验:由于企业微信不支持查询增量数据,IDaaS 将于每日凌晨自动全量同步企业微信来源节点下的全量数据。

    • 您可以在字段映射中设置映射标识,使用 IDaaS 账户的某个字段(如账户名)与企业微信用户的某个字段(如 userid)进行匹配,如果匹配成功,将绑定并覆盖更新;否则将创建 IDaaS 账户。

    • 如果需要及时同步数据,请手动触发全量同步。

    • IDaaS 内置了同步保护能力, 当 30 个以上的账户或 10 个以上的组织需要被删除时,自动取消同步任务,以防止数据被误删除。建议根据企业规模调整同步保护设置。

  • 扫码登录:开启后,会在【登录】菜单中创建【企业微信扫码登录】,并处于启用状态,可直接扫码登录。

  • 网页授权登录:【域名类型】使用【自定义域名】时默认开启,开启后将支持在企业微信工作台免登到 IDaaS EIAM 或应用,并支持授权后进行敏感数据同步。

说明

获取敏感数据需由用户在企业微信环境中进入 IDaaS EIAM 手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为 IDaaS EIAM 账户的手机、邮箱。

第四步:字段映射

如果您在 IDaaS 中已存在存量数据,需要企业微信成员/部门和 IDaaS 账户/组织绑定,或者希望使用企业微信中成员的某些字段数据作为 IDaaS 账户的数据,例如将企业微信成员的别名作为 IDaaS 账户的显示名,则需要在第四步配置字段映射。

bb49cf7f6e1fb19e2da3894618c9532e.png
重要

企业微信中的账号 ID(即 userid)如果是由系统自动生成的,将允许被修改一次。由于此字段是 IDaaS 能唯一依赖的主键,如果该字段被修改,将导致对应的 IDaaS 账户被删除并重新创建,请谨慎修改。

管理企业微信身份提供方

完成绑定后,会自动跳转到【身份提供方】菜单中。您可在此处对与身份提供方联动的不同功能进行管理。

image.png

重要提醒

扫码登录注意事项

企业微信扫码登录依赖【授权回调域】的配置。具体来说,您的用户在访问 IDaaS EIAM 或应用时如果需要登录,浏览器中 IDaaS EIAM 登录页的域名、IDaaS EIAM 企业微信身份提供方中的授权回调域、企业微信中配置的授权回调域三者必须完全一致,否则将无法使用企业微信扫码登录。

因此,如果您希望用户通过自定义域名访问 IDaaS EIAM,建议将自定义域名设置为默认域名(详见:修改默认域名)、开启自动跳转功能,并将 IDaaS EIAM 和企业微信中的授权回调域均设置为自定义域名。

敏感数据同步注意事项

获取敏感数据需由用户在企业微信环境中进入 IDaaS EIAM 手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为 IDaaS EIAM 账户的手机、邮箱。

06b96fcf71d994ee53f681632a1e4eec.png

用户进行手动授权后,30 天内再次进入企业微信应用页面不会再弹出授权页。若 30 天内用户需要修改个人敏感信息授权,可进入企业微信应用(即在绑定身份提供方时在企业微信中创建的应用)详情页的“个人敏感信息授权管理”页面,重新更改个人敏感信息授权。

image.png

除了用户手动授权,管理员也需在企业微信的【我的企业 - 通讯录管理 - 成员资料显示】中检查是否已设置所需的手机号、邮箱等敏感数据的展示,IDaaS EIAM 只能获取用户授权且管理员设置显示的用户敏感数据。

b6d752d1a61d609f3eec9b965836034d.png

预留其他登录方式

重要

阿里云 IDaaS 将尽最大努力保证您的企业微信通讯录数据同步、身份验证的可用性,但是由于企业微信的可信域名、可信 IP 等校验方式和风险管控等规则并未具体公开,阿里云无法保证您能持续、稳定地通过企业微信账号登录 IDaaS。

为避免企业微信不可用时无法登录 IDaaS,您还应保留账户密码或短信验证码等其他方式登录IDaaS。如您未采用其他方式登录,导致无法登录,因此造成的损失,由您自行担责。

请在登录方式中了解其他登录方式的配置和使用。

  • 本页导读 (0)
文档反馈