本文介绍绑定企业微信的操作步骤和常见用法。
流程概述
绑定企业微信到IDaaS只需要四步:
开始前准备
企业微信出于安全考虑,调用通讯录、身份校验接口时需要校验可信域名和可信IP,其中一个可信IP仅能用于企业微信中的一个企业,如果用于多个企业将被认定为服务商,从而导致通讯录、身份校验等接口不可用。为了满足企业微信的安全要求,您需要提前准备如下内容:
校验项 | 准备内容 |
可信域名 | 一个专用的域名,该域名的所属主体需和企业微信中的认证主体相同,建议提前配置为IDaaS EIAM实例的自定义域名。详见:自定义域名。 |
可信IP | IDaaS EIAM实例中需要至少拥有一个可用的专属端点。IDaaS EIAM将通过您的专属公网出口IP访问企业微信。详见:网络端点|配置专属公网出口IP。 |
实现场景
绑定企业微信后,您可以使用下述能力。
分类 | 实现能力 |
账户 |
|
登录 |
|
配置步骤
步骤一:创建应用
企业微信侧创建。
登录企业微信管理后台,在中创建企业自建应用。
上传应用logo,填写应用名称和应用介绍(选填)并根据实际需求选择可见范围(可见范围是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据)。返回应用管理页面。
IDaaS侧创建。
登录阿里云IDaaS控制台,选择对应的IDaaS实例。在身份提供方菜单中,单击,即可开始绑定流程。
重要如果当前实例没有可用的专属端点,则需先添加专属端点。详情请参见:添加专属端点。
按要求填写显示名称和企业ID。
显示名称:用户在登录、使用IDaaS EIAM时可能看到。
企业ID:登录企业微信管理后台,在中获取企业ID。
填写应用信息AgentId和Secret。
在企业微信管理后台,应用详情页面中的自建应用获取。
在应用详情中Secret一栏,单击查看。
在弹窗中确认发送后,即可根据提示在企业微信团队消息中查看。
说明下面以自备域名为例。如您选择自定义域名,需要在进入IDaaS EIAM实例中,完成自定义域名配置。
可信域名。
在企业微信管理后台的应用详情页中,单击设置可信域名。
填写作为应用OAuth2网页授权功能的可信域名。
说明请注意,企业微信要求配置的可信域名必须对应企业主体,且与协议头/链接路径无关。
通过校验后,您需要根据企业微信的指引,完成域名的归属认证。
企业可信IP。单击下拉框,选择专属网络端点。
您需要使用网络端点的专属公网访问(操作文档:配置专属公网出口IP),实现IDaaS EIAM实例使用您的IP访问企业微信。
在IDaaS EIAM的配置界面中,选择网络端点,查看专属公网出口IP。
即可看到该实例可以使用的公网IP。单击一键复制所有 IP。
在企业微信管理后台的应用中,将复制的IP配置为的企业可信IP。
重要IDaaS EIAM所使用的企业微信的所有接口,均通过可信IP调用。如果可信IP配置不准确或不可用,将影响企业微信数据同步和扫码登录等所有功能。由于企业微信可信IP的校验逻辑未具体公开,您还应保留账户密码或短信验证码等其他方式登录IDaaS。
授权回调域。
在绑定企业微信-入方向的配置界面中,复制授权回调域。
在企业微信管理后台的应用中,单击设置企业微信授权登录。
在Web 网页中,单击设置授权回调域。填入在IDaaS配置界面中,复制的授权回调域。
说明如果域名类型为自定义域名,您还需要在应用详情页中设置应用主页地址(网页)。该地址是在企业微信工作台免登后进入的地址。
完成上述配置后,即可单击下一步,进入分配权限流程。
步骤二:分配权限
在第二步中,根据指引调整可见范围。可见范围即是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员,不包含标签)。如果进行数据同步,可见范围将作为同步的来源节点。
步骤三:选择场景
在第三步中,选择希望使用的场景能力。
能力说明
同步目标:企业微信的通讯录数据将会导入到IDaaS的这个节点之下。
定时校验:由于企业微信不支持查询增量数据,IDaaS将于每日凌晨自动全量同步企业微信来源节点下的全量数据。
您可以在字段映射中设置映射标识,使用IDaaS账户的某个字段(如账户名)与企业微信用户的某个字段(如
userid)进行匹配,如果匹配成功,将绑定并覆盖更新;否则将创建IDaaS账户。如果需要及时同步数据,请手动触发全量同步。
IDaaS内置了同步保护能力, 当30个以上的账户或10个以上的组织需要被删除时,自动取消同步任务,以防止数据被误删除。建议根据企业规模调整同步保护设置。
扫码登录:开启后,会在登录菜单中创建企业微信扫码登录,并处于启用状态,可直接扫码登录。
网页授权登录:域名类型使用自定义域名时默认开启,开启后将支持在企业微信工作台免登到IDaaS EIAM或应用,并支持授权后进行敏感数据同步。
获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。
步骤四:字段映射
如果您在IDaaS中已存在存量数据,需要企业微信成员/部门和IDaaS账户/组织绑定,或者希望使用企业微信中成员的某些字段数据作为IDaaS账户的数据,例如将企业微信成员的别名作为IDaaS账户的显示名,则需要在第四步配置字段映射。
企业微信中的账号ID(即userid)如果是由系统自动生成的,将允许被修改一次。由于此字段是IDaaS能唯一依赖的主键,如果该字段被修改,将导致对应的IDaaS账户被删除并重新创建,请谨慎修改。
管理企业微信身份提供方
完成绑定后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。
重要提醒
扫码登录注意事项
企业微信扫码登录依赖授权回调域的配置。具体来说,您的用户在访问IDaaS EIAM或应用时如果需要登录,浏览器中IDaaS EIAM登录页的域名、IDaaS EIAM企业微信身份提供方中的授权回调域、企业微信中配置的授权回调域三者必须完全一致,否则将无法使用企业微信扫码登录。
因此,如果您希望用户通过自定义域名访问IDaaS EIAM,建议将自定义域名设置为默认域名(详见:自定义域名)、开启自动跳转功能,并将IDaaS EIAM和企业微信中的授权回调域均设置为自定义域名。
敏感数据同步注意事项
获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。
用户进行手动授权后,30天内再次进入企业微信应用页面不会再弹出授权页。若30天内用户需要修改个人敏感信息授权,可进入企业微信应用(即在绑定身份提供方时在企业微信中创建的应用)详情页的个人敏感信息授权管理页面,重新更改个人敏感信息授权。
除了用户手动授权,管理员也需在企业微信的中检查是否已设置所需的手机号、邮箱等敏感数据的展示,IDaaS EIAM只能获取用户授权且管理员设置显示的用户敏感数据。
预留其他登录方式
阿里云IDaaS将尽最大努力保证您的企业微信通讯录数据同步、身份验证的可用性,但是由于企业微信的可信域名、可信IP等校验方式和风险管控等规则并未具体公开,阿里云无法保证您能持续、稳定地通过企业微信账号登录IDaaS。
为避免企业微信不可用时无法登录IDaaS,您还应保留账户密码或短信验证码等其他方式登录IDaaS。如您未采用其他方式登录,导致无法登录,因此造成的损失,由您自行担责。
请在登录方式中了解其他登录方式的配置和使用。