WeCom への接続方法 - Identity as a Service - Alibaba Cloud ドキュメントセンター

このトピックでは、WeCom への接続方法と一般的な使用シナリオについて説明します。

概要

WeCom を IDaaS に接続するには、4 つのステップを実行します。

アプリケーションの作成: WeCom 管理コンソールと Alibaba Cloud IDaaS コンソールでアプリケーションを作成します。WeCom のセキュリティ要件を満たすために、基本情報、信頼できるドメイン名、信頼できる IP アドレスを構成します。
権限の割り当て: WeCom アプリケーションの可視範囲を調整して、IDaaS がアクセスできるアドレス帳データ (部署とメンバーのみ) を決定します。このデータは、後続のデータ同期のソースノードとして機能します。
シナリオの選択: アドレス帳の同期、QR コードログイン、Web 認証ログインなど、ニーズに基づいて機能を選択します。スケジュールされた完全同期、フィールドマッチングロジック、ログイン方法などの同期ルールを構成します。
フィールドマッピングの構成: WeCom のメンバーまたは部署のフィールドを IDaaS のアカウントまたは組織のフィールドにバインドまたはマッピングして、正しいデータ関連付けと一貫性を確保します。

開始する前に

セキュリティ上の理由から、WeCom は、アドレス帳へのアクセスや ID 検証のために API 操作を呼び出す際に、信頼できるドメイン名と信頼できる IP アドレスを検証します。信頼できる IP アドレスは、WeCom 内の 1 つの企業のみが使用できます。信頼できる IP アドレスが複数の企業で使用されている場合、WeCom はそれをサービスプロバイダーの IP アドレスとして識別します。これにより、アドレス帳へのアクセスや ID 検証などの API 操作が利用できなくなります。WeCom のセキュリティ要件を満たすには、次の項目を準備してください。

検証項目	準備
信頼できるドメイン名	専用のドメイン名。ドメイン名の所有者は、WeCom で検証されたエンティティと同じである必要があります。これを事前に IDaaS EIAM インスタンスのカスタムドメイン名として構成することをお勧めします。詳細については、「カスタムドメイン名」をご参照ください。
信頼できる IP アドレス	IDaaS EIAM インスタンスには、少なくとも 1 つのアクティブな専用エンドポイントが必要です。IDaaS EIAM は、専用のパブリックアウトバウンド IP アドレスを介して WeCom にアクセスします。詳細については、「ネットワークエンドポイント」\|「専用パブリックアウトバウンド IP アドレスを構成する」をご参照ください。

シナリオ

WeCom に接続すると、次の機能を使用できます。

カテゴリ	機能
アカウント	WeCom アドレス帳から IDaaS EIAM に非機密データを同期します。携帯電話番号やメールボックスなどの機密データを WeCom アドレス帳から IDaaS EIAM に同期します。
ログイン	WeCom で QR コードをスキャンして、IDaaS EIAM またはその中のアプリケーションにログインします。 WeCom の Web 認証ログイン (ワークベンチからの SSO) を使用して、IDaaS EIAM またはその中のアプリケーションにアクセスします。

手順

ステップ 1: アプリケーションを作成する

WeCom でアプリケーションを作成します。
1. WeCom でカスタムアプリケーションを作成する
  ログインして WeCom 管理コンソールにアクセスします。[アプリケーション管理] > [アプリケーション] セクションで、[カスタムアプリケーション] を作成します。
2. アプリケーション情報を構成する
  [アプリケーションロゴ] をアップロードし、[アプリケーション名] と [アプリケーション紹介 (オプション)] を入力し、必要に応じて [可視範囲] を選択します。可視範囲は、データ同期とログインに IDaaS を使用するときにアクセスできるアドレス帳データを決定します。アプリケーション管理ページに戻ります。
3. 作成したアプリケーションを表示する
  アプリケーション管理ページに戻ります。作成したアプリケーションは、カスタムビルドセクションに表示されます。

IDaaS でアプリケーションを作成します。

IDaaS コンソールで WeCom 接続プロセスを開始する
Alibaba Cloud IDaaS コンソールにログインし、IDaaS インスタンスを選択します。[ID プロバイダー] メニューで、[その他の ID プロバイダー] > [WeCom] をクリックして接続プロセスを開始します。
重要
現在のインスタンスにアクティブな専用エンドポイントがない場合は、まず追加する必要があります。詳細については、「専用エンドポイントの追加」をご参照ください。
基本情報を入力する
必要に応じて、[表示名] と [企業 ID] を入力します。
- 表示名: ユーザーが IDaaS にログインして使用するときに、この名前が表示される場合があります。
- 企業 ID: WeCom 管理コンソールにログインし、マイカンパニー > 会社情報 セクションから企業 IDを取得します。
アプリケーション情報を入力する
アプリケーション情報 [AgentId] と [Secret] を入力します。
1. WeCom 管理コンソールで、[アプリケーション管理] > [アプリケーション] ページのカスタムアプリケーションから情報を取得します。
2. アプリケーションの詳細で、[Secret] セクションの [表示] をクリックします。
3. ポップアップウィンドウで、シークレットを送信することを確認します。次に、プロンプトに従って WeCom チームメッセージでシークレットを表示します。

開発情報を入力する

説明

次の例では、自己提供のドメイン名を使用します。カスタムドメイン名を選択した場合は、IDaaS インスタンスに移動し、[パーソナライゼーション] > [カスタムドメイン名] > [カスタムドメイン名の追加] を選択して、カスタムドメイン名の構成を完了します。

[信頼できるドメイン名]。

[ドメイン名タイプ] は、使用できる WeCom 機能と開発情報の生成に影響します。ドメイン名タイプの違いは次のとおりです。

カテゴリ	セルフ提供ドメイン名	カスタムドメイン名
機能の違い	非機密データの同期と QR コードログインのみを使用できます。	非機密データの同期と QR コードログインに加えて、機密データの同期と Web 認証ログイン (ワークベンチからの SSO) も使用できます。
構成の違い	専用のドメイン名を信頼できるドメイン名として準備します。このドメイン名の所有者は、WeCom で検証されたエンティティと同じである必要があります。このドメイン名には、IDaaS EIAM にビジネスロジックはありません。開発情報の他のアドレスは、デフォルトで生成されます。	アクティブなカスタムドメイン名を選択します。このドメイン名の所有者は、WeCom で検証されたエンティティと同じである必要があります。このドメイン名はさまざまな WeCom 機能に使用されるため、安定して利用可能である必要があります。開発情報の他のアドレスは、選択したカスタムドメイン名に基づいて生成されます。

WeCom 管理コンソールのアプリケーション詳細ページで、[信頼できるドメイン名の設定] をクリックします。
アプリケーションの OAuth 2.0 Web 認証機能の信頼できるドメイン名を入力します。
説明
WeCom では、構成された信頼できるドメイン名が企業エンティティに対応し、プロトコルヘッダーまたはリンクパスから独立している必要があります。
検証後、WeCom の指示に従ってドメインの所有権の検証を完了します。

[企業の信頼できる IP]。ドロップダウンリストをクリックして、専用のネットワークエンドポイントを選択します。
1. IDaaS インスタンスが IP アドレスを使用して WeCom にアクセスできるようにするには、ネットワークエンドポイントの専用パブリックアクセスを使用する必要があります。詳細については、「専用パブリックアウトバウンド IP アドレスを構成する」をご参照ください。
2. IDaaS の構成ページで、ネットワークエンドポイントを選択し、[専用パブリックアウトバウンド IP アドレス] を表示します。
3. インスタンスが使用できるパブリック IP アドレスを表示できます。[すべての IP をコピー] をクリックします。
4. WeCom 管理コンソールのアプリケーションで、コピーした IP アドレスを [企業の信頼できる IP] として構成します。
重要
IDaaS が使用するすべての WeCom API は、信頼できる IP アドレスを介して呼び出されます。信頼できる IP アドレスが正しく構成されていないか、利用できない場合、データ同期や QR コードログインなどのすべての WeCom 機能が影響を受けます。WeCom の信頼できる IP アドレスの検証ロジックは公開されていないため、ユーザー名とパスワード、またはショートメッセージ検証など、他のログイン方法を利用できるようにしておく必要があります。
認証コールバックドメイン。
1. [WeCom への接続 - インバウンド] 構成ページで、権限付与コールバックドメインをコピーします。
2. WeCom 管理コンソールのアプリケーションで、[設定] > [WeCom 認証ログイン] をクリックします。
3. [Web ページ] セクションで、[権限付与コールバックドメインの設定] をクリックします。IDaaS 構成ページからコピーした権限付与コールバックドメインを貼り付けます。
  説明
  [ドメイン名タイプ] をカスタムドメイン名に設定した場合は、アプリケーション詳細ページでアプリケーションホームページアドレス (Web) も設定する必要があります。これは、WeCom ワークベンチからのシングルサインオン (SSO) 後にリダイレクトされるアドレスです。

これらの構成が完了したら、[次へ] をクリックして [権限の割り当て] ステップに進みます。

ステップ 2: 権限の割り当て

このステップでは、ガイドに従って [可視範囲] を調整します。[可視範囲] は、IDaaS がデータ同期とログインのためにアクセスできるアドレス帳データ (部署とメンバーのみ、タグは含まれません) を決定します。データ同期の場合、可視範囲はソースノードとして機能します。

ステップ 3: シナリオを選択する

このステップでは、使用するシナリオ機能を選択します。

機能の説明

同期ターゲット: WeCom からのアドレス帳データは、IDaaS のこのノードの下にインポートされます。
スケジュールされた同期: WeCom は増分データのクエリをサポートしていないため、IDaaS は毎日深夜に WeCom ソースノードからすべてのデータの完全同期を自動的に実行します。
- フィールドマッピングのステップでマッピング識別子を設定できます。IDaaS アカウントのフィールド (アカウント名など) を使用して、WeCom ユーザーのフィールド (userid など) と照合できます。一致が見つかった場合、アカウントはバインドされ、IDaaS アカウントが更新されます。それ以外の場合は、新しい IDaaS アカウントが作成されます。
- データをすぐに同期するには、手動で完全同期をトリガーできます。
- IDaaS には、組み込みの同期保護機能があります。30 を超えるアカウントまたは 10 を超える組織が削除される場合、誤ったデータ削除を防ぐために同期タスクは自動的にキャンセルされます。企業の規模に基づいて同期保護設定を調整できます。
QR コードログイン: 有効にすると、[ログイン] メニューに WeCom QR コードログインオプションが作成され、デフォルトで有効になります。ユーザーは QR コードをスキャンして直接ログインできます。
Web 認証ログイン: [ドメイン名タイプ] がカスタムドメイン名に設定されている場合、これはデフォルトで有効になります。有効にすると、WeCom ワークベンチから IDaaS またはアプリケーションへの SSO をサポートし、権限付与後の機密データ同期をサポートします。

説明

機密データを取得するには、ユーザーは WeCom 環境から IDaaS にアクセスして手動で権限を付与する必要があります。SSO が開始されると、権限付与ページが表示されます。権限付与後、WeCom の携帯電話番号と企業メールボックスが IDaaS アカウントに使用されます。企業メールボックスが存在しない場合は、個人メールボックスが使用されます。

ステップ 4: フィールドマッピングを構成する

IDaaS に既存データがあり、WeCom のメンバーまたは部署を IDaaS のアカウントまたは組織にバインドする必要がある場合、または WeCom メンバーの特定のフィールドのデータを IDaaS アカウントに使用する場合は、このステップでフィールドマッピングを構成できます。たとえば、WeCom メンバーのエイリアスを IDaaS アカウントの表示名として使用できます。

説明

WeCom のアカウント ID (userid) がシステムによって生成された場合、変更できるのは 1 回だけです。このフィールドは IDaaS が使用できる唯一のプライマリキーであるため、変更すると対応する IDaaS アカウントが削除されて再作成されます。このフィールドは注意して変更してください。

重要

企業と従業員のデータセキュリティとプライバシーを保護するために、WeCom はプラットフォーム API ポリシーを調整しました。

2022 年 6 月 20 日 20:00 以降、アドレス帳の同期以外の目的で WeCom API を呼び出す場合、次の機密フィールドは返されなくなります: プロフィール写真、性別、携帯電話、メールボックス、企業メールボックス、従業員の個人 QR コード、および住所。アプリケーションがこの情報を必要とする場合は、WeCom OAuth 2.0 権限付与メカニズムを使用して、管理者と従業員に必要な権限を付与してデータを取得するようにガイドする必要があります。

WeCom ID プロバイダーを管理する

接続が完了すると、自動的に [ID プロバイダー] メニューにリダイレクトされます。ここでは、ID プロバイダーと対話する機能を管理できます。

重要事項

QR コードログインに関する注意事項

WeCom での QR コードログインは、権限付与コールバックドメインの構成に依存します。具体的には、ユーザーが IDaaS またはアプリケーションにログインする必要がある場合、ブラウザの IDaaS ログインページのドメイン、IDaaS の WeCom ID プロバイダー設定の権限付与コールバックドメイン、および WeCom で構成された権限付与コールバックドメインは同一である必要があります。そうでない場合、WeCom での QR コードログインは失敗します。

したがって、ユーザーがカスタムドメイン名を使用して IDaaS にアクセスするようにしたい場合は、カスタムドメイン名をデフォルトのドメイン名として設定し、自動リダイレクト機能を有効にし、IDaaS と WeCom の両方で権限付与コールバックドメインをカスタムドメイン名に設定する必要があります。詳細については、「カスタムドメイン名」をご参照ください。

機密データ同期に関する注意事項

機密データを取得するには、ユーザーは WeCom 環境から IDaaS にアクセスして手動で権限を付与する必要があります。シングルサインオンが開始されると、権限付与ページが表示されます。権限付与後、WeCom の携帯電話番号と企業メールボックスが IDaaS アカウントに使用されます。企業メールボックスが存在しない場合は、個人メールボックスが使用されます。

ユーザーが手動で権限を付与した後、WeCom アプリケーションページにアクセスしても、30 日間は権限付与ページは再表示されません。ユーザーが 30 日以内に個人の機密情報の権限付与を変更する必要がある場合は、WeCom アプリケーション (ID プロバイダーを接続するときに WeCom で作成されたアプリケーション) の [個人機密情報権限管理] ページに移動して権限付与を変更できます。

ユーザーの権限付与に加えて、管理者は、携帯電話番号やメールボックスなどの必要な機密データの表示が、WeCom の [マイカンパニー] > [アドレス帳管理] > [メンバープロファイル表示] で構成されているかどうかも確認する必要があります。IDaaS は、ユーザーが権限を付与し、管理者が表示するように構成した機密ユーザーデータのみを取得できます。

他のログイン方法を利用できるようにする

重要

Alibaba Cloud IDaaS は、WeCom アドレス帳のデータ同期と ID 検証の可用性を確保するためにあらゆる努力を払っています。ただし、WeCom の信頼できるドメイン名、信頼できる IP アドレス、およびリスク管理ルールの検証ロジックは公開されていません。したがって、Alibaba Cloud は、WeCom アカウントを使用して IDaaS に一貫して確実にログインできることを保証できません。

WeCom が利用できなくなった場合に IDaaS にログインできなくなるのを避けるために、ユーザー名とパスワード、またはショートメッセージ検証コードなど、他のログイン方法を利用できるようにしておく必要があります。他の方法を有効にしていないためにログインできない場合、結果として生じるいかなる損失についてもお客様が責任を負うものとします。

他のログイン方法の構成と使用については、「一般設定」をご参照ください。