专属钉钉 SSO

本文为您介绍如何在IDaaS中配置专属钉钉单点登录。

应用简介

专属钉钉助力企业打造专属、安全、开放的数字化办公运营平台,定义企业自己的数字化工作学习方式。您可以单点登录到专属钉钉,实现企业身份到钉钉身份的打通。

了解更多:使用 AD/LDAP/IDaaS账户登录专属钉

说明

需开通专属钉钉的专属账号能力。

操作步骤

一、创建应用

请管理员前往应用 > 应用市场,搜索到专属钉钉应用。确认应用名后,即可完成添加流程。

image

添加后,会自动来到SSO配置页。​

二、在IDaaS中配置SSO

IDaaS已经预先完成了专属钉钉的所有SSO配置,您只需根据实际业务场景,调整如下配置即可:

1、授权模式使用隐式模式,并勾选id_token。登录Redirect URI默认使用:默认地址

2、授权范围建议选择全员可访问。如果只是组织中的部分员工需使用专属钉钉,则可选择手动授权,并在授权中手动授权账户或组织。

image

3、高级配置中的扩展 id_token中必须存在一条键(key)是sub的数据。在单点登录到专属钉时,专属钉钉将根据sub匹配专属钉钉用户的userid,从而实现登录。

image

sub的值(VALUE)目前支持两种配置方式:

  • 固定字段匹配:使用IDaaS账户中的某个字段与专属钉钉用户userid的匹配,从而匹配专属钉钉用户。值的格式为user.{IDaaS字段名}(如:user.userid、user.username),可在高级:账户字段表达式中了解更多信息。此时有两种场景:

    • 由 IDaaS 同步的用户:需与专属钉钉身份提供方字段映射中的钉钉字段userid的字段值一致。

    • 专属钉钉的存量用户:需保证专属钉钉用户的useridsub的值相同。

  • 绑定关系匹配:通过IDaaS账户与专属钉钉用户的绑定关系匹配到专属钉钉用户。值的格式为user.identityProviderUserMap.{idpId}.identityProviderUserId,其中idpId字段在身份提供方页面获取。image此时有两种场景:

    • 由 IDaaS 同步的用户:此时IDaaS账户与专属钉钉用户已默认存在绑定关系,无须特殊注意。

    • 专属钉钉的存量用户:通过字段映射中的映射标识可实现存量账户的绑定,绑定后即可正常使用。可在字段映射中了解更多信息。

重要

如果此字段值配置有误,用户将无法登录专属钉钉。

、在专属钉钉中配置SSO

前往钉钉管理后台,登录到专属钉钉管理后台。

安全与权限-组织代码登录中复制或申请组织代码(您的用户需要用这个代码登录专属钉钉),登录方式选择sso登录。

安全与权限-SSO单点登录设置中填写IDaaS应用的相关信息:

  • 配置方式:选择OIDC协议认证。

  • 配置参数:前往本文档步骤一中所创建的IDaaS应用

    • Client ID:在通用配置的client_id中获取。

    • Issuer:在登录访问-单点登录-应用配置信息的Issuer中获取。

    • Authorization URL:在登录访问-单点登录-应用配置信息的授权端点中获取。

    • OpenID Config URL:在登录访问-单点登录-应用配置信息的发现端点中获取。

image

四、尝试SSO

专属钉钉仅支持SP发起SSO,更多信息请查看文档:用户登录步骤