全部产品
Search

搜索本产品

    Identity as a Service:Terhubung ke WeCom

    文档中心

    Identity as a Service:Terhubung ke WeCom

    更新时间:Nov 09, 2025

    Topik ini menjelaskan cara terhubung ke WeCom dan skenario penggunaan umum.

    Ikhtisar

    Anda dapat menghubungkan WeCom ke IDaaS dalam empat langkah:

    1. Buat aplikasi: Buat aplikasi di Konsol Admin WeCom dan Konsol Manajemen Alibaba Cloud IDaaS. Konfigurasikan informasi dasar, nama domain tepercaya, dan alamat IP tepercaya untuk memenuhi persyaratan keamanan WeCom.

    2. Tetapkan izin: Sesuaikan cakupan visibilitas aplikasi WeCom untuk menentukan data buku alamat (hanya departemen dan anggota) yang dapat diakses oleh IDaaS. Data ini berfungsi sebagai node sumber untuk sinkronisasi data selanjutnya.

    3. Pilih skenario: Pilih fitur berdasarkan kebutuhan Anda, seperti sinkronisasi buku alamat, login kode QR, dan login otorisasi web. Konfigurasikan aturan sinkronisasi, termasuk sinkronisasi penuh terjadwal, logika pencocokan bidang, dan metode login.

    4. Konfigurasikan pemetaan bidang: Hubungkan atau petakan bidang anggota atau departemen WeCom ke bidang akun atau organisasi IDaaS untuk memastikan asosiasi data yang benar dan konsistensi.

    Sebelum Anda mulai

    Untuk alasan keamanan, WeCom memverifikasi nama domain tepercaya dan alamat IP tepercaya saat Anda memanggil Operasi API untuk akses buku alamat dan verifikasi identitas. Alamat IP tepercaya hanya dapat digunakan oleh satu perusahaan di WeCom. Jika alamat IP tepercaya digunakan oleh beberapa perusahaan, WeCom mengidentifikasinya sebagai alamat IP penyedia layanan. Hal ini membuat Operasi API seperti akses buku alamat dan verifikasi identitas tidak tersedia. Untuk memenuhi persyaratan keamanan WeCom, siapkan item berikut:

    Item verifikasi

    Persiapan

    Nama domain tepercaya

    Nama domain khusus. Pemilik nama domain harus sama dengan entitas terverifikasi di WeCom. Kami sarankan Anda mengonfigurasikan ini sebagai nama domain kustom untuk instans EIAM IDaaS Anda terlebih dahulu. Untuk informasi lebih lanjut, lihat Nama domain kustom.

    Alamat IP tepercaya

    Instans EIAM IDaaS Anda harus memiliki setidaknya satu endpoint publik aktif. EIAM IDaaS akan mengakses WeCom melalui alamat IP publik keluar khusus Anda. Untuk informasi lebih lanjut, lihat Endpoint jaringan| Konfigurasikan alamat IP publik keluar khusus.

    Skenario

    Setelah Anda terhubung ke WeCom, Anda dapat menggunakan fitur berikut.

    Kategori

    Kemampuan

    Akun

    • Sinkronkan data non-sensitif dari buku alamat WeCom ke EIAM IDaaS.

    • Sinkronkan data sensitif, seperti nomor telepon dan kotak surat, dari buku alamat WeCom ke EIAM IDaaS.

    Masuk

    • Pindai kode QR dengan WeCom untuk masuk ke EIAM IDaaS atau aplikasi di dalamnya.

    • Gunakan login otorisasi web (SSO dari workbench) di WeCom untuk mengakses EIAM IDaaS atau aplikasi di dalamnya.

    Prosedur

    Langkah 1: Buat aplikasi

    1. Buat aplikasi di WeCom.

      1. Buat aplikasi kustom di WeCom

        Masuk ke Konsol Admin WeCom. Di bagian Application Management > Application, buat Custom Application.

      2. Konfigurasikan informasi aplikasi

        Unggah Application Logo, masukkan Application Name dan Application Introduction (Optional), serta pilih Visibility Scope sesuai kebutuhan. Cakupan visibilitas menentukan data buku alamat yang dapat diakses saat menggunakan IDaaS untuk sinkronisasi data dan login. Kembali ke halaman manajemen aplikasi.

      3. Lihat aplikasi yang dibuat

        Kembali ke halaman manajemen aplikasi. Aplikasi yang Anda buat muncul di bagian kustom.

    2. Buat aplikasi di IDaaS.

      1. Mulai proses koneksi WeCom di Konsol IDaaS

        Masuk ke Konsol Manajemen Alibaba Cloud IDaaS, dan pilih instans IDaaS. Di menu Identity Providers, klik Other Identity Providers > WeCom untuk memulai proses koneksi.

        Penting

        Jika instans saat ini tidak memiliki endpoint khusus aktif, Anda harus menambahkan satu terlebih dahulu. Untuk informasi lebih lanjut, lihat Tambahkan endpoint khusus.

      2. Masukkan informasi dasar

        Masukkan Display Name dan Enterprise ID sesuai kebutuhan.

        • Display Name: Pengguna mungkin melihat nama ini saat mereka masuk dan menggunakan IDaaS.

        • Enterprise ID: Masuk ke Konsol Admin WeCom dan dapatkan Enterprise ID dari bagian My Company > Company Information.

      3. Masukkan informasi aplikasi

        Masukkan informasi aplikasi AgentId dan Secret.

        1. Di Konsol Admin WeCom, dapatkan informasi dari aplikasi kustom pada halaman Application Management > Application.

        2. Di detail aplikasi, klik View di bagian Secret.

        3. Di jendela pop-up, konfirmasikan bahwa Anda ingin mengirim rahasia. Kemudian, lihat rahasia di Pesan Tim WeCom sesuai petunjuk.

      4. Masukkan informasi pengembangan

        Catatan

        Contoh berikut menggunakan nama domain mandiri. Jika Anda memilih nama domain kustom, kunjungi instans IDaaS Anda dan pilih Personalization > Custom Domain Name > Add Custom Domain Name untuk menyelesaikan konfigurasi nama domain kustom.

        1. Trusted Domain Name.

          Domain Name Type memengaruhi fitur WeCom yang dapat Anda gunakan dan pembuatan informasi pengembangan. Perbedaan antara jenis nama domain adalah sebagai berikut:

          Kategori

          Nama domain disediakan sendiri

          Nama domain kustom

          Perbedaan fungsional

          Anda hanya dapat menggunakan sinkronisasi data non-sensitif dan login kode QR.

          Selain sinkronisasi data non-sensitif dan login kode QR, Anda juga dapat menggunakan sinkronisasi data sensitif dan login otorisasi web (SSO dari workbench).

          Perbedaan konfigurasi

          Siapkan nama domain khusus sebagai nama domain tepercaya. Pemilik nama domain ini harus sama dengan entitas terverifikasi di WeCom. Nama domain ini tidak memiliki logika bisnis di EIAM IDaaS. Alamat lain dalam informasi pengembangan dihasilkan secara default.

          Pilih nama domain kustom aktif. Pemilik nama domain ini harus sama dengan entitas terverifikasi di WeCom. Nama domain ini digunakan untuk berbagai fitur WeCom dan harus stabil serta tersedia. Alamat lain dalam informasi pengembangan dihasilkan berdasarkan nama domain kustom yang Anda pilih.

          1. Di halaman detail aplikasi di Konsol Admin WeCom, klik Set Trusted Domain Name.

          2. Masukkan nama domain tepercaya untuk fitur otorisasi web OAuth 2.0 aplikasi.

            Catatan

            WeCom mengharuskan nama domain tepercaya yang dikonfigurasi sesuai dengan entitas perusahaan dan independen dari header protokol atau jalur tautan.

          3. Setelah verifikasi, ikuti petunjuk di WeCom untuk menyelesaikan verifikasi kepemilikan domain.

        2. Enterprise Trusted IP. Klik daftar drop-down dan pilih titik akhir jaringan khusus.

          1. Anda harus menggunakan akses publik khusus dari endpoint jaringan untuk mengaktifkan instans IDaaS mengakses WeCom menggunakan alamat IP Anda. Untuk informasi lebih lanjut, lihat Konfigurasikan alamat IP publik keluar khusus.

          2. Di halaman konfigurasi IDaaS, pilih endpoint jaringan dan lihat Dedicated Public Outbound IP Address.

          3. Anda dapat melihat alamat IP publik yang dapat digunakan oleh instans. Klik Copy All IPs.

          4. Di aplikasi di Konsol Admin WeCom, konfigurasikan alamat IP yang disalin sebagai Enterprise Trusted IP.

          Penting

          Semua API WeCom yang digunakan oleh IDaaS dipanggil melalui alamat IP tepercaya. Jika alamat IP tepercaya dikonfigurasi secara salah atau tidak tersedia, semua fitur WeCom, seperti sinkronisasi data dan login kode QR, terpengaruh. Karena logika verifikasi untuk alamat IP tepercaya WeCom tidak diungkapkan secara publik, Anda harus menyimpan metode login lain yang tersedia, seperti nama pengguna dan kata sandi atau verifikasi pesan teks.

        3. Domain callback otorisasi.

          1. Di halaman konfigurasi Connect WeCom - Inbound, salin domain callback otorisasi.

          2. Di aplikasi di Konsol Admin WeCom, klik Set > WeCom Authorization Logon.

          3. Di bagian Web Page, klik Set Authorization Callback Domain. Tempel domain callback otorisasi yang Anda salin dari halaman konfigurasi IDaaS.

            Catatan

            Jika Anda mengatur Domain Name Type ke Nama Domain Kustom, Anda juga harus mengatur alamat halaman utama aplikasi (web) di halaman detail aplikasi. Ini adalah alamat ke mana Anda dialihkan setelah single sign-on (SSO) dari workbench WeCom.

        Setelah Anda menyelesaikan konfigurasi ini, klik Next untuk melanjutkan ke langkah Assign Permissions.

    Langkah 2: Tetapkan izin

    Dalam langkah ini, sesuaikan Visibility Scope sesuai panduan. Visibility Scope menentukan data buku alamat (hanya departemen dan anggota, tag tidak termasuk) yang dapat diakses oleh IDaaS untuk sinkronisasi data dan login. Untuk sinkronisasi data, cakupan visibilitas bertindak sebagai node sumber.

    Langkah 3: Pilih skenario

    Dalam langkah ini, pilih fitur skenario yang ingin Anda gunakan.

    Deskripsi fitur

    • Target Sinkronisasi: Data buku alamat dari WeCom diimpor di bawah node ini di IDaaS.

    • Sinkronisasi Terjadwal: Karena WeCom tidak mendukung kueri data inkremental, IDaaS secara otomatis melakukan sinkronisasi penuh semua data dari node sumber WeCom setiap hari tengah malam.

      • Anda dapat mengatur pengenal pemetaan di langkah pemetaan bidang. Anda dapat menggunakan bidang dari akun IDaaS, seperti nama akun, untuk mencocokkan bidang dari pengguna WeCom, seperti userid. Jika ditemukan kecocokan, akun diikat dan akun IDaaS diperbarui. Jika tidak, akun IDaaS baru dibuat.

      • Untuk menyinkronkan data segera, Anda dapat memicu sinkronisasi penuh secara manual.

      • IDaaS memiliki fitur perlindungan sinkronisasi bawaan. Jika lebih dari 30 akun atau 10 organisasi akan dihapus, tugas sinkronisasi secara otomatis dibatalkan untuk mencegah penghapusan data secara tidak sengaja. Anda dapat menyesuaikan pengaturan perlindungan sinkronisasi berdasarkan ukuran perusahaan Anda.

    • Login Kode QR: Saat diaktifkan, opsi login kode QR WeCom dibuat di menu Login dan diaktifkan secara default. Pengguna dapat masuk langsung dengan memindai kode QR.

    • Login Otorisasi Web: Ini diaktifkan secara default saat Domain Name Type diatur ke Nama Domain Kustom. Saat diaktifkan, ini mendukung SSO dari workbench WeCom ke IDaaS atau aplikasi, serta sinkronisasi data sensitif setelah otorisasi.

    Catatan

    Untuk mendapatkan data sensitif, pengguna harus memberikan otorisasi secara manual dengan mengakses IDaaS dari lingkungan WeCom. Halaman otorisasi muncul saat single sign-on dimulai. Setelah otorisasi, nomor telepon dan kotak surat perusahaan dari WeCom digunakan untuk akun IDaaS. Jika tidak ada kotak surat perusahaan, kotak surat pribadi digunakan.

    Langkah 4: Konfigurasikan pemetaan bidang

    Jika Anda memiliki data historis di IDaaS dan perlu mengikat anggota atau departemen WeCom ke akun atau organisasi IDaaS, atau jika Anda ingin menggunakan data dari bidang tertentu anggota WeCom untuk akun IDaaS, Anda dapat mengonfigurasi pemetaan bidang di langkah ini. Misalnya, Anda dapat menggunakan alias anggota WeCom sebagai nama tampilan akun IDaaS.

    Catatan

    Jika ID akun (userid) di WeCom dihasilkan oleh sistem, Anda hanya dapat mengubahnya sekali. Karena bidang ini adalah satu-satunya kunci utama yang dapat digunakan oleh IDaaS, mengubahnya menyebabkan akun IDaaS yang sesuai dihapus dan dibuat ulang. Ubah bidang ini dengan hati-hati.

    Penting

    Untuk melindungi keamanan data dan privasi perusahaan serta karyawan, WeCom telah menyesuaikan kebijakan API platformnya.

    Mulai pukul 20:00 pada 20 Juni 2022, saat Anda memanggil API WeCom untuk tujuan selain sinkronisasi buku alamat, bidang sensitif berikut tidak akan lagi dikembalikan: Foto profil, jenis kelamin, nomor telepon, kotak surat, kotak surat perusahaan, kode QR pribadi karyawan, dan alamat. Jika aplikasi Anda memerlukan informasi ini, gunakan mekanisme otorisasi OAuth 2.0 WeCom untuk membimbing administrator dan karyawan memberikan izin yang diperlukan guna mendapatkan data tersebut.

    Kelola penyedia identitas WeCom

    Setelah koneksi selesai, Anda akan dialihkan secara otomatis ke menu Identity Providers. Di sini, Anda dapat mengelola fitur yang berinteraksi dengan penyedia identitas.

    Catatan penting

    Catatan pada masuk berbasis kode QR

    Login kode QR dengan WeCom bergantung pada konfigurasi . Secara khusus, saat pengguna Anda perlu masuk ke IDaaS atau aplikasi, domain halaman login IDaaS di browser, domain callback otorisasi dalam pengaturan penyedia identitas WeCom di IDaaS, dan domain callback otorisasi yang dikonfigurasikan di WeCom harus identik. Jika tidak, login kode QR dengan WeCom gagal.

    Oleh karena itu, jika Anda ingin pengguna mengakses IDaaS menggunakan nama domain kustom, Anda harus mengatur nama domain kustom sebagai nama domain default, mengaktifkan fitur pengalihan otomatis, dan mengatur domain callback otorisasi di IDaaS dan WeCom ke nama domain kustom Anda. Untuk informasi lebih lanjut, lihat Nama domain kustom.

    Catatan pada sinkronisasi data sensitif

    Untuk mendapatkan data sensitif, pengguna harus memberikan otorisasi secara manual dengan mengakses IDaaS dari lingkungan WeCom. Halaman otorisasi muncul saat single sign-on dimulai. Setelah otorisasi, nomor telepon dan kotak surat perusahaan dari WeCom digunakan untuk akun IDaaS. Jika tidak ada kotak surat perusahaan, kotak surat pribadi digunakan.

    Setelah pengguna memberikan otorisasi manual, halaman otorisasi tidak akan muncul lagi selama 30 hari ketika mereka mengakses halaman aplikasi WeCom. Jika pengguna perlu mengubah otorisasi informasi pribadi sensitif mereka dalam waktu 30 hari, mereka dapat pergi ke halaman Personal Sensitive Information Authorization Management aplikasi WeCom (aplikasi yang dibuat di WeCom saat Anda menghubungkan penyedia identitas) untuk mengubah otorisasi.

    Selain otorisasi pengguna, administrator juga harus memeriksa apakah tampilan data sensitif yang diperlukan, seperti nomor telepon dan kotak surat, dikonfigurasikan di WeCom di bawah My Company > Address Book Management > Member Profile Display. IDaaS hanya dapat memperoleh data pengguna sensitif yang telah diotorisasi oleh pengguna dan dikonfigurasikan oleh administrator untuk ditampilkan.

    Pertahankan metode login lainnya tetap tersedia

    Penting

    Alibaba Cloud IDaaS berupaya sepenuhnya untuk memastikan ketersediaan sinkronisasi data buku alamat WeCom dan verifikasi identitas Anda. Namun, logika verifikasi untuk nama domain tepercaya, alamat IP tepercaya, dan aturan pengendalian risiko di WeCom tidak diungkapkan secara publik. Oleh karena itu, Alibaba Cloud tidak dapat menjamin bahwa Anda dapat masuk secara konsisten dan andal ke IDaaS menggunakan akun WeCom Anda.

    Untuk menghindari ketidakmampuan masuk ke IDaaS jika WeCom tidak tersedia, Anda harus menjaga metode login lainnya tetap tersedia, seperti nama pengguna dan kata sandi atau kode verifikasi pesan teks. Jika Anda tidak dapat masuk karena belum mengaktifkan metode lain, Anda bertanggung jawab atas kerugian yang timbul.

    Untuk mempelajari tentang konfigurasi dan penggunaan metode login lainnya, lihat Pengaturan umum.