本文介绍绑定企业微信的操作步骤和常见用法。
实现场景
绑定企业微信后,您可以使用下述能力。
分类 | 实现能力 |
账户 |
|
登录 |
|
开始前准备
企业微信出于安全考虑,调用通讯录、身份校验接口时需要校验可信域名和可信IP,其中一个可信IP仅能用于企业微信中的一个企业,如果用于多个企业将被认定为服务商,从而导致通讯录、身份校验等接口不可用。
为了满足企业微信的安全要求,您需要提前准备如下内容:
校验项 | 准备内容 |
可信域名 | 一个专用的域名,该域名的所属主体需和企业微信中的认证主体相同,建议提前配置为IDaaS EIAM实例的自定义域名。详见:自定义域名。 |
可信IP | IDaaS EIAM实例中需要至少拥有一个可用的专属端点。IDaaS EIAM将通过您的专属公网出口IP访问企业微信。详见:网络端点|配置专属公网出口IP。 |
绑定企业微信
在身份提供方菜单中,单击
,即可开始绑定流程。如果当前实例没有可用的专属端点,则需先添加专属端点。更多信息请了解:网络端点
第一步:创建应用
1、您需要在IDaaS EIAM中填写以下信息:
显示名称:用户在登录、使用IDaaS EIAM时可能看到。
企业ID:请在企业微信管理后台中的我的企业获取。
AgentId:
请在企业微信管理后台中创建企业自建应用。
请注意:创建应用中所选择的可见范围,即是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员)。您将在下述步骤中再次确认这些信息。
在应用详情中获取AgentId。
Secret:
在应用详情中点击查看Secret。
在弹窗中确认发送后,即可根据提示在企业微信中查看。
2、域名类型将影响您可以使用的企业微信的能力,以及下方开发信息的生成。不同域名类型的区别如下:
自备域名 | 自定义域名 | |
功能区别 | 仅能使用非敏感数据同步和扫码登录。 | 除了非敏感数据同步和扫码登录之外,还支持敏感数据同步和网页授权登录(即工作台免登)。 |
配置区别 | 准备一个专用的域名作为可信域名(该域名的所属主体需和企业微信中的认证主体相同),该域名在IDaaS EIAM中无任何业务逻辑;开发信息中的其余地址默认生成。 | 选择一个可用的自定义域名(该域名的所属主体需和企业微信中的认证主体相同),该域名涉及企业微信各项功能的使用,需保证其稳定可用;开发信息中的其余地址均通过您所选择的自定义域名生成。 |
3、以域名类型使用自定义域名为例,您还需要将以下开发信息填写到企业微信中:
可信域名:
在企业微信管理后台的应用中,单击设置可信域名。
填写作为应用OAuth2网页授权功能的可信域名。请注意,企业微信要求配置的可信域名必须对应企业主体,且与协议头/链接路径无关。
通过校验后,您需要根据企业微信的指引,完成域名的归属认证。
企业可信IP:
您需要使用网络端点的专属公网访问(操作文档:配置专属公网出口IP),实现IDaaS EIAM实例使用您的IP访问企业微信。
在IDaaS EIAM的配置界面中,选择网络端点,查看专属公网出口IP。
即可看到该实例可以使用的公网IP。单击一键复制所有 IP。
在企业微信管理后台的应用中,将复制的IP配置为的企业可信IP。
- 重要
IDaaS EIAM所使用的企业微信的所有接口,均通过可信IP调用。如果可信IP配置不准确或不可用,将影响企业微信数据同步和扫码登录等所有功能。由于企业微信可信IP的校验逻辑未具体公开,您还应保留账户密码或短信验证码等其他方式登录IDaaS。
授权回调域:
在IDaaS EIAM的配置界面中,复制授权回调域。
在企业微信管理后台的应用中,单击设置企业微信授权登录。
在Web 网页中,单击设置授权回调域。
如果域名类型为自定义域名,您还需要在应用详情页中设置应用主页地址(网页)。该地址是在企业微信工作台免登后进入的地址。
完成上述配置后,即可单击下一步,进入后续流程。
第二步:分配权限
在第二步中,根据指引调整可见范围。可见范围即是使用IDaaS EIAM进行数据同步、登录时有权限访问的通讯录数据(仅支持部门和成员,不包含标签)。如果进行数据同步,可见范围将作为同步的来源节点。
第三步:选择场景
在第三步中,选择希望使用的场景能力。
能力说明
同步目标:企业微信的通讯录数据将会导入到IDaaS的这个节点之下。
定时校验:由于企业微信不支持查询增量数据,IDaaS将于每日凌晨自动全量同步企业微信来源节点下的全量数据。
您可以在字段映射中设置映射标识,使用IDaaS账户的某个字段(如账户名)与企业微信用户的某个字段(如
userid
)进行匹配,如果匹配成功,将绑定并覆盖更新;否则将创建IDaaS账户。如果需要及时同步数据,请手动触发全量同步。
IDaaS内置了同步保护能力, 当30个以上的账户或10个以上的组织需要被删除时,自动取消同步任务,以防止数据被误删除。建议根据企业规模调整同步保护设置。
扫码登录:开启后,会在登录菜单中创建企业微信扫码登录,并处于启用状态,可直接扫码登录。
网页授权登录:域名类型使用自定义域名时默认开启,开启后将支持在企业微信工作台免登到IDaaS EIAM或应用,并支持授权后进行敏感数据同步。
获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。
第四步:字段映射
如果您在IDaaS中已存在存量数据,需要企业微信成员/部门和IDaaS账户/组织绑定,或者希望使用企业微信中成员的某些字段数据作为IDaaS账户的数据,例如将企业微信成员的别名作为IDaaS账户的显示名,则需要在第四步配置字段映射。
企业微信中的账号ID(即userid
)如果是由系统自动生成的,将允许被修改一次。由于此字段是IDaaS能唯一依赖的主键,如果该字段被修改,将导致对应的IDaaS账户被删除并重新创建,请谨慎修改。
管理企业微信身份提供方
完成绑定后,会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。
重要提醒
扫码登录注意事项
企业微信扫码登录依赖授权回调域的配置。具体来说,您的用户在访问IDaaS EIAM或应用时如果需要登录,浏览器中IDaaS EIAM登录页的域名、IDaaS EIAM企业微信身份提供方中的授权回调域、企业微信中配置的授权回调域三者必须完全一致,否则将无法使用企业微信扫码登录。
因此,如果您希望用户通过自定义域名访问IDaaS EIAM,建议将自定义域名设置为默认域名(详见:自定义域名)、开启自动跳转功能,并将IDaaS EIAM和企业微信中的授权回调域均设置为自定义域名。
敏感数据同步注意事项
获取敏感数据需由用户在企业微信环境中进入IDaaS EIAM手动授权(在发起免登时出现授权页面)。授权后,将直接使用企业微信手机号、企业邮箱(如无企业邮箱则使用个人邮箱)作为IDaaS EIAM账户的手机、邮箱。
用户进行手动授权后,30天内再次进入企业微信应用页面不会再弹出授权页。若30天内用户需要修改个人敏感信息授权,可进入企业微信应用(即在绑定身份提供方时在企业微信中创建的应用)详情页的个人敏感信息授权管理页面,重新更改个人敏感信息授权。
除了用户手动授权,管理员也需在企业微信的
中检查是否已设置所需的手机号、邮箱等敏感数据的展示,IDaaS EIAM只能获取用户授权且管理员设置显示的用户敏感数据。预留其他登录方式
阿里云IDaaS将尽最大努力保证您的企业微信通讯录数据同步、身份验证的可用性,但是由于企业微信的可信域名、可信IP等校验方式和风险管控等规则并未具体公开,阿里云无法保证您能持续、稳定地通过企业微信账号登录IDaaS。
为避免企业微信不可用时无法登录IDaaS,您还应保留账户密码或短信验证码等其他方式登录IDaaS。如您未采用其他方式登录,导致无法登录,因此造成的损失,由您自行担责。
请在登录方式中了解其他登录方式的配置和使用。