AI 助理
备案控制台
官方文档
有奖调研
输入文档关键字查找
首页 应用身份服务 (IDaaS) EIAM 云身份服务 操作指南 身份提供方 绑定钉钉一方应用

绑定钉钉一方应用

更新时间:
产品详情
我的收藏

本文档详细介绍了将钉钉企业内部应用(一方应用)绑定到IDaaS的操作流程,包括创建应用、分配权限、选择场景、字段映射等步骤。

实现场景

绑定钉钉一方应用后,您将获得以下集成能力:

分类

实现能力

账户管理

  • 全量同步:支持将钉钉通讯录数据完整同步至IDaaS平台,提供以下同步方式。

    • 手动触发同步

    • 定时自动同步(可配置同步频率)

  • 增量同步:实时监听钉钉通讯录变更事件,自动将变动数据同步至IDaaS,确保数据实时性

登录集成

  • 统一认证:支持使用钉钉扫码登录

    • 直接登录IDaaS平台

    • 登录IDaaS集成的各类应用系统

配置步骤

重要

钉钉对应用权限要求严格,需确保您的账号具有开发者权限,否则将无法使用数据同步等核心功能。请您先完成权限配置,再进行后续绑定操作。

步骤一:创建应用

  1. 钉钉侧创建

    1. 登录钉钉开放平台,进入开发者后台。在企业内部应用页面创建应用,填写应用名称描述信息,同时可根据需要上传应用图标(非必选项)。image

    2. 创建应用后,进入应用详情页,单击凭证与基础信息获取AppKeyAppSecret。然后单击右上角图标,复制CorpID并填写到IDaaS中。image

  2. IDaaS侧创建

    1. 登录阿里云IDaaS控制台,选择对应的IDaaS实例。在身份提供方菜单中,选择其他身份提供方 > 钉钉 - 入方向(一方应用)即可进入绑定流程。image

    2. 填写基础信息。按要求填写显示名称CorpId

    3. 填写应用信息。将获取的AppKeyAppSecret填写至IDaaS,确认无误后单击下一步继续。image

      说明

      系统将自动校验您输入的AppKey、AppSecretCorpID的有效性,请注意CorpID在同一个实例中具有唯一性

步骤二:分配权限

  1. 在钉钉应用详情页中,依次进入权限管理 > 通信录管理,完成以下通讯录查询权限的授权配置,以实现数据同步和用户登录。

    权限名称

    权限值

    注意事项

    企业员工手机号信息

    fieldMobile

    2个属性必须选择一个,根据业务需求,需要用到哪个字段进行对应的开通。

    邮箱等个人信息

    fieldEmail

    获取通讯录基本信息

    qyapi_get_department_list

    --

    通讯录部门成员读权限

    qyapi_get_department_member

    --

    成员信息读权限

    qyapi_get_member

    --

  2. 权限管理中配置数据权限,此设置将决定哪些用户、组织数据可以同步到IDaaS并使用钉钉登录。

    image

  3. 完成权限配置后,在IDaaS中单击下一步,系统将自动校验API及数据权限,验证通过后即可继续后续流程。

步骤三:选择场景

  1. 同步目标:在下拉框选择阿里云IDaaS,钉钉的通讯录数据将会导入到IDaaS的这个节点之下。

  2. 增量同步:需在IDaaS配置完成后开启(依赖钉钉事件回调机制,要求IDaaS必须处于可用状态)。

  3. 定时校验:支持通过定时任务或Cron表达式配置同步策略,采用增量方式更新本地用户数据。

  4. 扫码登录:启用后支持用户通过钉钉扫码快捷登录。

image

步骤四:字段映射

当您的IDaaS中已存在存量数据,若需将钉钉通讯录用户/部门IDaaS现有的账户/组织进行关联,或将钉钉用户字段(如姓名)映射为IDaaS账户属性(如显示名),则需要在此步骤完成字段映射配置,完成配置后单击保存按钮。image

步骤五:安全设置

  1. IDaaS应用修改页面中,需配置钉钉的安全设置,包括获取共享公网出口IP白名单和应用首页地址,并将其填入钉钉企业内部应用的相关字段。具体分为共享端点和专属端点两种方式,前者使用共享IP实现基础网络策略,后者通过专属IP提供更严格的数据同步和登录控制。

    1. 共享端点

      • IDaaS应用修改页面获取共享公网出口IP列表应用首页地址,配置到钉钉的安全设置。image

    2. 专属端点

      • 若需更严格的网络策略,选择专属端点并获取专属IP地址。添加专属端点,请参见:创建专属端点

      • 将专属IP配置到钉钉应用的相同安全设置位置,实现独立的数据同步和扫码登录,增强可控性。image

  2. 进入钉钉应用详情,单击安全设置,填写IDaaS服务器出口IP重定向URL(回调域名)

    1. 服务出口IP:IDaas调用钉钉接口时,钉钉会校验服务发起地址是否在钉钉受信的IP列表中。

    2. 重定向URL:对应IDaaS中应用登录首页地址,当开启钉钉扫码登录时,钉钉扫码授权后会携带授权码跳转当前地址。image

数据同步

  1. 手动触发同步:在控制台手动触发全量数据拉取,系统将自动执行增量更新。

    IDP列表中,单击对应的触发同步即可,在左上方可通过查看详情,查看同步结果,或者直接通过用户目录结构验证同步结果。image

  2. 增量同步配置:开启事件订阅后,钉钉数据变更时将主动推送通知,IDaaS 实时进行增量同步。

    1. 在钉钉开放平台,单击事件订阅

      1. 推送方式选择HTTP推送

      2. 分别点击加密aesKey签名token框后的刷新按钮,生成对应信息。

      3. 请求网址格式为:{应用首页地址}/callback/idp/dingtalk/orgapp/{CoprId}image

        说明

        • {应用首页地址}为IDaaS应用列表中的应用详情的登录首页地址。

        • {CoprId}为当前钉钉的企业Id。

      4. 当前步骤不能单击保存,需要在IDaaS配置完加密aesKey及加密token信息后再到钉钉单击保存。

    2. IDaaS侧,进入身份提供方页面,单击要配置的身份提供方栏目中的修改image填写钉钉开放平台的加密aesKey签名token请求网址image

    3. 在钉钉开放平台单击事件订阅保存

      1. 保存配置时,钉钉服务端会向IDaaS发起权限验证请求,该验证过程将使用钉钉平台生成的aesKey及加密token进行身份校验。

      2. 事件订阅页面,找到对应的待订阅事件列表,进行事件订阅开通。image

      3. 订阅事件描述。

        序号

        接口名称

        变更类型

        描述

        1

        user_add_org

        用户变更

        通讯录用户增加。

        2

        user_modify_org

        用户变更

        通讯录用户更改。

        3

        user_leave_org

        用户变更

        通讯录用户离职。

        4

        org_dept_create

        部门变更

        通讯录企业部门创建。

        5

        org_dept_modify

        部门变更

        通讯录企业部门修改。

        6

        org_dept_remove

        部门变更

        通讯录企业部门删除。

    4. IDaaS中开启增量同步,即完成增量同步配置,根据日志或者组织结构的变化,验证事件订阅。image

  3. 定时同步:通过配置同步计划任务,IDaaS 将定期拉取钉钉全量用户数据并自动转换为增量更新。

    IDaaS定时周期分为每天固定时间点或者Corn表达式两种方式,在该时间范围内,IDaaS会主动拉取钉钉全量用户信息,实现数据的增量同步。image

上一篇:绑定钉钉-出方向下一篇:绑定企业微信