本文为您介绍如何在IDaaS中配置专属钉钉单点登录。
应用简介
专属钉钉助力企业打造专属、安全、开放的数字化办公运营平台,定义企业自己的数字化工作学习方式。您可以单点登录到专属钉钉,实现企业身份到钉钉身份的打通。
需开通专属钉钉的专属账号能力。
操作步骤
一、创建应用
请管理员前往,搜索到专属钉钉应用。确认应用名后,即可完成添加流程。
添加后,会自动来到SSO配置页。
二、在IDaaS中配置SSO
IDaaS已经预先完成了专属钉钉的所有SSO配置,您只需根据实际业务场景,调整如下配置即可:
1、授权模式使用隐式模式,并勾选id_token。登录Redirect URI默认使用:默认地址
2、授权范围建议选择全员可访问。如果只是组织中的部分员工需使用专属钉钉,则可选择手动授权,并在授权中手动授权账户或组织。
3、高级配置中的扩展 id_token中必须存在一条键(key)是sub的数据。在单点登录到专属钉时,专属钉钉将根据sub匹配专属钉钉用户的userid,从而实现登录。
sub的值(VALUE)目前支持两种配置方式:
固定字段匹配:使用IDaaS账户中的某个字段与专属钉钉用户userid的匹配,从而匹配专属钉钉用户。值的格式为user.{IDaaS字段名}(如:user.userid、user.username),可在高级:账户字段表达式中了解更多信息。此时有两种场景:
由 IDaaS 同步的用户:需与专属钉钉身份提供方字段映射中的钉钉字段userid的字段值一致。
专属钉钉的存量用户:需保证专属钉钉用户的userid和sub的值相同。
绑定关系匹配:通过IDaaS账户与专属钉钉用户的绑定关系匹配到专属钉钉用户。值的格式为user.identityProviderUserMap.{idpId}.identityProviderUserId,其中idpId字段在身份提供方页面获取。
此时有两种场景:由 IDaaS 同步的用户:此时IDaaS账户与专属钉钉用户已默认存在绑定关系,无须特殊注意。
专属钉钉的存量用户:通过字段映射中的映射标识可实现存量账户的绑定,绑定后即可正常使用。可在字段映射中了解更多信息。
如果此字段值配置有误,用户将无法登录专属钉钉。
三、在专属钉钉中配置SSO
前往钉钉管理后台,登录到专属钉钉管理后台。
在安全与权限-组织代码登录中复制或申请组织代码(您的用户需要用这个代码登录专属钉钉),登录方式选择sso登录。
在安全与权限-SSO单点登录设置中填写IDaaS应用的相关信息:
配置方式:选择OIDC协议认证。
配置参数:前往本文档步骤一中所创建的IDaaS应用
Client ID:在通用配置的
client_id中获取。Issuer:在登录访问-单点登录-应用配置信息的Issuer中获取。
Authorization URL:在登录访问-单点登录-应用配置信息的授权端点中获取。
OpenID Config URL:在登录访问-单点登录-应用配置信息的发现端点中获取。
四、尝试SSO
专属钉钉仅支持SP发起SSO,更多信息请查看文档:用户登录步骤。