本文为您介绍如何在 IDaaS 中配置泛微公共云 eteams 单点登录。
操作步骤
一、创建 IDaaS 应用
请管理员前往【应用】【应用市场】,搜索到【泛微 eteams】应用模板。确认应用名后,即可完成添加流程。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507752.png)
添加后,会自动来到 SSO 配置页。
配置 SSO
您需要在配置页修改两个参数。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507753.png)
登录 Redirect URI:您需要从 eteams 的【统一认证接入管理】配置页获取该地址。
授权范围:可暂时选择【全员可访问】。若希望指定可访问应用的 IDaaS 账户,请参考应用授权进行配置。
点击【保存】即可完成全部 SSO 配置。
在表单下方的【应用配置信息】中,有 4 个端点信息。在后续步骤中,您将需要在 eteams 中填入这些端点。
二、在 eteams 中配置 SSO
2.1 配置 SSO
请 eteams 管理员前往后台管理中心。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507754.png)
通过左侧菜单栏,前往【集成中心】【统一认证接入管理】,点击启用,并在【认证方式】中选择【OAuth2 集成】。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507755.png)
填写表单。
模块 | 填写说明 |
基本信息 |
|
请求用户授权接口 |
![]() |
获取授权 Token 接口 |
![]() |
获取用户信息接口 |
![]() |
统一退出接口(选填) |
|
最终填写效果如下图。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507759.png)
2.2. 申请域名白名单
出于泛微对安全性的考量,您需要和泛微申请将 IDaaS 实例的域名加入白名单,才能发起 SSO 请求。
请您将 IDaaS 中【授权端点】和【令牌端点】地址提供给泛微的支持团队,申请添加白名单。可能会有半天到一天的等待时间。
不同 IDaaS 实例的端点地址有差异。若您使用多个 IDaaS 实例,且均需配置泛微 SSO,您可能需要分别为每个实例申请白名单。
单点登录配置已全部完成。不过,为了能够顺利测试,您还需要进行额外一步:确保 IDaaS 中账户可以顺利映射到泛微的账户中。
2.3. 确认账户映射
在上一步中,我们在泛微 eteams 中配置账号规则为【电子邮箱】,意味着 eteams 会从 IDaaS 用户端点的 email 字段中取值,并与 eteams 通讯录中的账号邮箱进行匹配。
因此,您需要确保 IDaaS 有可登录账号,且其邮箱与 eteams 中的某一账号是一致的。为了方便,您也可通过管理员账号完成测试。
在泛微中,您可以在【组织架构设置】中邀请新同事,或对现有账号进行管理。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507760.png)
在 IDaaS 中,您可参考 创建账户 文档对账户进行管理。
三、尝试 SSO
您已经可以尝试泛微 eteams SSO。
1. 访问地址
请您复制泛微 eteams 的登录页地址。可通过【界面配置中心】【登录页设置】,点击【eteams 默认风格】后从界面中复制。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507761.png)
访问该登录地址,泛微会检测到该请求需要 IDaaS 认证,若 IDaaS 尚未登录,则会自动跳转到 IDaaS 登录页。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507762.png)
2. 进行认证
请使用在 eteams 中有邮箱对应的 IDaaS 账户进行登录。
您可使用 IDaaS 中支持和配置的多种登录方式,进行登录,包括短信验证码、钉钉扫码、AD 身份登录等,同时管理员可以在 IDaaS 中开启多因素认证 MFA,以加强认证安全性。
3. 认证成功!
登录完成后,浏览器会回调到刚才尝试访问的地址中,展示对应结果,意味着认证成功。
![image.png](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/0610766661/p507763.png)