すべてのプロダクト
Search

このプロダクト

    Identity as a Service:Lark への接続

    ドキュメントセンター

    Identity as a Service:Lark への接続

    最終更新日:Nov 10, 2025

    このトピックでは、Lark に接続するための手順と一般的なユースケースについて説明します。

    手順の概要

    Lark を IDaaS に接続するには、次の 4 つのステップが必要です。

    1. アプリケーション権限の設定: Lark Open Platform でアプリケーションに必要な権限を設定して、必要なデータと機能にアクセスできるようにします。

    2. 開発者設定の構成: IDaaS コンソールで、Webhook アドレスやアプリケーション認証情報などの開発者設定を構成します。

    3. シナリオの選択: ビジネスニーズに合った統合シナリオと認証方式を選択します。

    4. フィールドのマッピング: Lark ユーザープロパティと IDaaS ユーザープロパティ間のマッピングを構成して、正しいデータ同期を確保します。

    Lark への接続

    [ID プロバイダー] メニューで、[その他の ID プロバイダー] > [Lark] をクリックして接続プロセスを開始します。

    image

    ステップ 1: アプリケーション権限の設定

    重要

    Lark には、アプリケーション権限に関する特定の要件があります。一部の権限は、管理者がアプリケーションを承認して公開した後にのみ有効になります。これには、組織内の他の管理者の支援が必要になる場合があります。必要な権限が付与されていない場合、データ同期などの機能は動作しません。続行する前に、このステップで権限設定を完了する必要があります。

    1. Lark アプリケーションの作成

      1. Lark Open Platform に移動し、開発者コンソールにログインして、[エンタープライズ内部アプリケーションを作成] します。

        image

      2. アプリケーションが作成されると、Lark のアプリケーション詳細ページにリダイレクトされます。[認証情報と基本情報] メニューをクリックして、[App ID][App Secret] を取得します。次に、これらの認証情報を IDaaS に入力します。

        image

    2. IDaaS に [App ID][App Secret] を入力します。image

    3. 開発者情報の設定。

      1. リダイレクト URL。

        1. IDaaS で表示。このアドレスは、ユーザーのログインリクエストを処理するために使用されます。image

        2. Lark の設定。Lark アプリケーションの詳細で、[セキュリティ設定] > [リダイレクト URL] セクションに URL を入力します。次に、[追加] ボタンをクリックします。image

      2. アプリケーションホームページ。

        1. IDaaS で表示。ユーザーが認証情報を入力せずに Lark ワークスペースから IDaaS ユーザーポータルにログインできるようにするには、このホームページ URL を Lark で設定する必要があります。image

        2. Lark で設定。Lark のアプリケーション詳細ページで、[アプリ機能を追加] の下にある [Web アプリ] を追加します。image

          Web アプリが追加されたら、この URL をデスクトップホームページとモバイルホームページに入力します。image

      3. IP アドレスホワイトリスト。

        1. IDaaS で表示image

          • 共有エンドポイント: 共有エンドポイントは、IDaaS インスタンスがネットワークアクセスに使用するデフォルトのネットワークエンドポイントです。すべての IDaaS インスタンスで共有され、インターネットアクセスのみをサポートします。

          • 専用エンドポイント: 専用エンドポイントは、IDaaS インスタンス専用のネットワークエンドポイントです。このエンドポイントを専用 IP アドレスとともに使用して、Lark のデータ同期と委任認証を実行できます。専用エンドポイントの詳細については、「ネットワークエンドポイント」をご参照ください。

        2. Lark の設定。IP アドレスでネットワークリクエストを制限するには、IDaaS から出力 IP リストをコピーし、[一括編集] を使用して Lark の [アプリケーションセキュリティ設定] > [IP アドレスホワイトリスト] に追加します。image

    4. Lark アプリケーションの詳細ページで、[権限管理] > [権限を付与] をクリックします。次に、[アドレス帳] セクションで、データ同期とユーザーログインを有効にするために、次のクエリ権限を付与します。image

      権限名

      権限値

      特記事項

      連絡先の基本情報の読み取り

      contact:contact.base:readonly

      --

      ユーザー ID の読み取り

      contact:user.employee_id:readonly

      --

      部門の基本情報の読み取り

      contact:department.base:readonly

      --

      連絡先の部門の組織構造の読み取り

      contact:department.organize:readonly

      この権限をリクエストした後、バージョンリリースリクエストを送信する必要があります。リクエストが承認されると、権限が有効になります。

      ユーザーの基本情報の読み取り

      contact:user.base:readonly

      --

      ユーザーの雇用情報の読み取り

      contact:user.employee:readonly

      --

      ユーザーの組織構造情報の読み取り

      contact:user.department:readonly

      この権限をリクエストした後、バージョンリリースリクエストを送信する必要があります。リクエストが承認されると、権限が有効になります。

      ユーザーのメールボックス情報の読み取り

      contact:user.email:readonly

      この権限は必須ではありません。このフィールドを IDaaS に同期する場合にのみリクエストしてください。

      ユーザーの携帯電話番号の読み取り

      contact:user.phone:readonly

      この権限をリクエストした後、バージョンリリースリクエストを送信する必要があります。リクエストが承認されると、権限が有効になります。

      この権限は必須ではありません。このフィールドを IDaaS に同期する場合にのみリクエストしてください。

    5. Lark データ権限の有効化

      1. [権限] セクションで、[アクセス可能なデータ範囲][設定] をクリックして、データ権限を設定します。

        image

      2. 必要に応じて権限を選択します。この範囲によって、どのユーザーおよび組織データを IDaaS に同期し、Lark でのログインに使用できるかが決まります。image

    6. IDaaS で送信。権限を設定した後、IDaaS で [次へ] をクリックします。IDaaS は、対応する API とデータ権限をチェックします。必要なすべての権限が付与された後、次のステップに進むことができます。

      image

    ステップ 2: 開発者設定の構成

    1. 基本情報の入力

      1. [表示名] を入力します。

        image

      2. Lark Admin Console から取得できる [エンタープライズ ID] を入力します。

        image

    ステップ 3: シナリオの選択

    使用したいシナリオ機能を選択します。image

    機能の説明

    • 同期先: ドロップダウンリストから Alibaba Cloud IDaaS を選択します。Lark アドレス帳データは、IDaaS のこのノードにインポートされます。

    • 定期チェック: デフォルトでは、IDaaS はデータの整合性を確保するために、毎日深夜に Lark データの完全同期を自動的に実行します。フィールドマッピングを使用して、IDaaS アカウントと Lark ユーザー間の照合ルール (アカウント名を userid にマッピングするなど) を指定できます。一致が見つかった場合、バインディングが更新されます。それ以外の場合は、新しいアカウントが作成されます。リアルタイム同期の場合、完全同期タスクを手動でトリガーできます。システムには、30 を超えるアカウントまたは 10 を超える組織の削除を検出した場合に同期を自動的に停止する組み込みの保護メカニズムがあります。この機能により、偶発的な削除を防ぐことができます。組織の規模に応じてしきい値を調整できます。

    • 定期チェック期間: 同期は 1 日 1 回実行するようにスケジュールされています。cron 式を使用してスケジュールをカスタマイズできます。IDaaS には、偶発的なデータ損失を防ぐために、30 を超えるアカウントや 10 を超える組織など、多数の削除が検出された場合にタスクを停止する組み込みの保護メカニズムが含まれています。

    • 増分同期: この機能はデフォルトで無効になっており、接続完了後に手動で有効にする必要があります。イベント通知が設定されていない場合、増分同期を有効にすることはできません。この機能を有効にするには、ID プロバイダーを追加または変更するときに設定を調整する必要があります。

      • [ID プロバイダー] ページで、Lark アプリケーションを見つけて [変更] をクリックします。

      • [イベント設定] セクションで、[暗号化キー][検証トークン] を入力します。これらの値は、Lark アプリケーション詳細の [イベントとコールバック] > [暗号化ポリシー] ページから取得できます。次に、[OK] をクリックして保存します。imageimage

      • Lark アプリケーションで、[イベントとコールバック] > [イベントサブスクリプション] セクションに移動し、イベントコールバック URL を [リクエスト URL] に設定します。image

    • スキャンしてログイン: この機能を有効にすると、IDaaS ログインページに Lark QR コードログインオプションが表示されます。ユーザーはコードをスキャンして認証を完了できます。アプリケーションホームページが設定されている場合、ユーザーは再度ログインすることなく Lark ワークスペースから IDaaS にアクセスすることもでき、利便性が向上します。

    ステップ 4: フィールドのマッピング

    IDaaS に既存データがあり、Lark のメンバーまたは部門を既存の IDaaS アカウントまたは組織にバインドする必要がある場合は、このステップでフィールドマッピングを設定する必要があります。また、Lark のユーザー名を IDaaS アカウントの表示名として使用するなど、特定の Lark メンバーフィールドのデータを IDaaS アカウントに使用する場合も、フィールドマッピングを設定する必要があります。

    重要

    Lark のユーザー ID (userid) は Lark ユーザーの一意の識別子であり、変更できます。このフィールドは IDaaS が使用できる唯一のプライマリキーであるため、変更すると対応する IDaaS アカウントが削除されて再作成されます。このフィールドは慎重に変更してください。

    Lark ID プロバイダーの管理

    接続が完了すると、自動的に [ID プロバイダー] メニューにリダイレクトされ、そこで ID プロバイダーと対話する機能を管理できます。

    image