绑定企业微信

本文介绍绑定企业微信的操作步骤和常见用法。

实现场景

绑定企业微信后,您可以使用下述能力。

分类

实现能力

账户

  • 将企业微信通讯录非敏感数据同步到IDaaS EIAM。

  • 将企业微信通讯录敏感数据(手机号、邮箱等)同步到IDaaS EIAM。

登录

  • 使用企业微信扫码登录IDaaS EIAM或其中的应用。

  • 在企业微信网页授权登录(即工作台免登)到IDaaS EIAM或其中的应用。

开始前准备

企业微信出于安全考虑,调用通讯录、身份校验接口时需要校验可信域名和可信IP,其中一个可信IP仅能用于企业微信中的一个企业,如果用于多个企业将被认定为服务商,从而导致通讯录、身份校验等接口不可用。

为了满足企业微信的安全要求,您需要提前准备如下内容:

校验项

准备内容

可信域名

一个专用的域名,该域名的所属主体需和企业微信中的认证主体相同,建议提前配置为IDaaS EIAM实例的自定义域名。详见:自定义域名

可信IP

IDaaS EIAM实例中需要至少拥有一个可用的专属端点。IDaaS EIAM将通过您的专属公网出口IP访问企业微信。详见:网络端点|配置专属公网出口IP

绑定企业微信

身份提供方菜单中,单击其他身份提供方 > 企业微信,即可开始绑定流程。

image.png

如果当前实例没有可用的专属端点,则需先添加专属端点。更多信息请了解:网络端点

image.png

第一步:创建应用

1、您需要在IDaaS EIAM中填写以下信息:

image.png

  • 显示名称:用户在登录、使用IDaaS EIAM时可能看到。

  • 企业ID:请在企业微信管理后台中的我的企业获取。image.png

  • AgentId:

    • 请在企业微信管理后台中创建企业自建应用image.png

    • 请注意:创建应用中所选择的可见范围,即是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员)。您将在下述步骤中再次确认这些信息。image.png

    • 在应用详情中获取AgentId。image.png

  • Secret:

    • 在应用详情中点击查看Secret。image.png

    • 在弹窗中确认发送后,即可根据提示在企业微信中查看。image.png

2、域名类型将影响您可以使用的企业微信的能力,以及下方开发信息的生成。不同域名类型的区别如下:

自备域名

自定义域名

功能区别

仅能使用非敏感数据同步和扫码登录。

除了非敏感数据同步和扫码登录之外,还支持敏感数据同步和网页授权登录(即工作台免登)。

配置区别

准备一个专用的域名作为可信域名(该域名的所属主体需和企业微信中的认证主体相同),该域名在IDaaS EIAM中无任何业务逻辑;开发信息中的其余地址默认生成。

选择一个可用的自定义域名(该域名的所属主体需和企业微信中的认证主体相同),该域名涉及企业微信各项功能的使用,需保证其稳定可用;开发信息中的其余地址均通过您所选择的自定义域名生成。

3、以域名类型使用自定义域名为例,您还需要将以下开发信息填写到企业微信中:

image.png

  • 可信域名:

    • 企业微信管理后台的应用中,单击设置可信域名image.png

    • 填写作为应用OAuth2网页授权功能的可信域名。请注意,企业微信要求配置的可信域名必须对应企业主体,且与协议头/链接路径无关。image.png

    • 通过校验后,您需要根据企业微信的指引,完成域名的归属认证。image.png

  • 企业可信IP:

    • 您需要使用网络端点的专属公网访问(操作文档:配置专属公网出口IP),实现IDaaS EIAM实例使用您的IP访问企业微信。

    • IDaaS EIAM的配置界面中,选择网络端点,查看专属公网出口IP。image.png

    • 即可看到该实例可以使用的公网IP。单击一键复制所有 IPimage.png

    • 企业微信管理后台的应用中,将复制的IP配置为的企业可信IP。image.png

    • 重要

      IDaaS EIAM所使用的企业微信的所有接口,均通过可信IP调用。如果可信IP配置不准确或不可用,将影响企业微信数据同步和扫码登录等所有功能。由于企业微信可信IP的校验逻辑未具体公开,您还应保留账户密码或短信验证码等其他方式登录IDaaS。

  • 授权回调域:

    • IDaaS EIAM的配置界面中,复制授权回调域。image.png

    • 企业微信管理后台的应用中,单击设置企业微信授权登录image.png

    • Web 网页中,单击设置授权回调域image.png

    • 如果域名类型为自定义域名,您还需要在应用详情页中设置应用主页地址(网页)。该地址是在企业微信工作台免登后进入的地址。image.png

完成上述配置后,即可单击下一步,进入后续流程。

第二步:分配权限

在第二步中,根据指引调整可见范围可见范围即是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员,不包含标签)。如果进行数据同步,可见范围将作为同步的来源节点。

image.png

第三步:选择场景

在第三步中,选择希望使用的场景能力。

42055df6e82f27aba96c9c3c5d954565.png

能力说明

  • 同步目标:企业微信的通讯录数据将会导入到IDaaS的这个节点之下。

  • 定时校验:由于企业微信不支持查询增量数据,IDaaS将于每日凌晨自动全量同步企业微信来源节点下的全量数据。

    • 您可以在字段映射中设置映射标识,使用IDaaS账户的某个字段(如账户名)与企业微信用户的某个字段(如userid)进行匹配,如果匹配成功,将绑定并覆盖更新;否则将创建IDaaS账户。

    • 如果需要及时同步数据,请手动触发全量同步。

    • IDaaS内置了同步保护能力, 当30个以上的账户或10个以上的组织需要被删除时,自动取消同步任务,以防止数据被误删除。建议根据企业规模调整同步保护设置。

  • 扫码登录:开启后,会在登录菜单中创建企业微信扫码登录,并处于启用状态,可直接扫码登录。

  • 网页授权登录:域名类型使用自定义域名时默认开启,开启后将支持在企业微信工作台免登到IDaaS EIAM或应用,并支持授权后进行敏感数据同步。

说明

获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。

第四步:字段映射

如果您在IDaaS中已存在存量数据,需要企业微信成员/部门和IDaaS账户/组织绑定,或者希望使用企业微信中成员的某些字段数据作为IDaaS账户的数据,例如将企业微信成员的别名作为IDaaS账户的显示名,则需要在第四步配置字段映射。

bb49cf7f6e1fb19e2da3894618c9532e.png

重要

企业微信中的账号ID(即userid)如果是由系统自动生成的,将允许被修改一次。由于此字段是IDaaS能唯一依赖的主键,如果该字段被修改,将导致对应的IDaaS账户被删除并重新创建,请谨慎修改。

管理企业微信身份提供方

完成绑定后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。

image.png

重要提醒

扫码登录注意事项

企业微信扫码登录依赖授权回调域的配置。具体来说,您的用户在访问IDaaS EIAM或应用时如果需要登录,浏览器中IDaaS EIAM登录页的域名、IDaaS EIAM企业微信身份提供方中的授权回调域、企业微信中配置的授权回调域三者必须完全一致,否则将无法使用企业微信扫码登录

因此,如果您希望用户通过自定义域名访问IDaaS EIAM,建议将自定义域名设置为默认域名(详见:自定义域名)、开启自动跳转功能,并将IDaaS EIAM和企业微信中的授权回调域均设置为自定义域名。

敏感数据同步注意事项

获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。

06b96fcf71d994ee53f681632a1e4eec.png

用户进行手动授权后,30天内再次进入企业微信应用页面不会再弹出授权页。若30天内用户需要修改个人敏感信息授权,可进入企业微信应用(即在绑定身份提供方时在企业微信中创建的应用)详情页的个人敏感信息授权管理页面,重新更改个人敏感信息授权。

image.png

除了用户手动授权,管理员也需在企业微信的我的企业 > 通讯录管理 > 成员资料显示中检查是否已设置所需的手机号、邮箱等敏感数据的展示,IDaaS EIAM只能获取用户授权且管理员设置显示的用户敏感数据。

b6d752d1a61d609f3eec9b965836034d.png

预留其他登录方式

重要

阿里云IDaaS将尽最大努力保证您的企业微信通讯录数据同步、身份验证的可用性,但是由于企业微信的可信域名、可信IP等校验方式和风险管控等规则并未具体公开,阿里云无法保证您能持续、稳定地通过企业微信账号登录IDaaS。

为避免企业微信不可用时无法登录IDaaS,您还应保留账户密码或短信验证码等其他方式登录IDaaS。如您未采用其他方式登录,导致无法登录,因此造成的损失,由您自行担责。

请在登录方式中了解其他登录方式的配置和使用。