Alibaba Cloud Identity as a Service (IDaaS) を DingTalk に接続して、DingTalk から組織構造とユーザーを同期します。この連携により、企業のアイデンティティ管理の効率とセキュリティが向上します。
ユースケース
IDaaS は、ID プロバイダー (IdP) を使用して既存の ID システムへの接続を管理します。Alibaba Cloud の製品である DingTalk は、IDaaS とシームレスにネイティブ連携できます。接続プロセスはシンプルで、QR コードをスキャンして認可するだけで、約 2 分で完了します。この簡単な設定により、次の機能を利用できます:
|
カテゴリ |
機能 |
|
アカウント |
|
|
サインイン |
|
|
アプリケーション |
|
DingTalk に接続する 2 つの方法
[ID プロバイダー] メニューから、ID プロバイダーとして DingTalk を追加し、セットアッププロセス中にその機能を有効にします。
IDaaS は、DingTalk からデータをインポートするために 2 つの方法をサポートしています:
|
方法 |
説明 |
|
サードパーティアプリケーション方式 (クイック接続) |
DingTalk のサードパーティアプリケーションソリューションを使用します。QR コードをスキャンして認可することで、設定を完了できます。 メリット:設定が簡単で高速です。 説明
情報の入力は不要です。QR コードをスキャンして認可すると、セットアップが完了します。 デメリット:ユーザーの携帯電話番号とメールアドレスを一括取得できません。これらの情報は、管理者が入力するか、サインイン時にユーザーが認可する必要があります。 |
|
ファーストパーティアプリケーション方式 (高度な設定) |
サードパーティアプリケーション方式を拡張します。DingTalk 管理者がファーストパーティアプリケーションを作成し、対応する権限を付与したうえで、IDaaS にアプリケーション情報を設定する必要があります。 メリット:権限を柔軟に設定でき、完全なユーザー情報にアクセスできます。 デメリット:設定に時間がかかります。 |
DingTalk へのクイック接続
Quick Start または IdPs メニューで、Bind DingTalk をクリックして、インバウンドプロビジョニングのクイック接続プロセスを開始します。
手順 1:機能の選択
最初の手順で、DingTalk 連携で有効にする機能を選択します。特に指定がない場合は、次の手順に進みます。
機能の説明
-
Sync Target:DingTalk のアドレス帳データを取り込む IDaaS の宛先ノードを指定します。
-
Incremental Sync:有効にすると、IDaaS は DingTalk API を呼び出してアドレス帳イベントをリッスンします。DingTalk のアドレス帳の変更はリアルタイムで IDaaS に同期されます。
-
フィールドマッピング設定でマッピング識別子を定義できます。IDaaS アカウントのフィールド (例:携帯電話番号) を使用して、DingTalk ユーザーの対応するフィールド (例:携帯電話番号) と照合します。一致した場合は既存の IDaaS アカウントを更新し、一致しない場合は新しいアカウントを作成します。
-
増分同期を有効にする前に、完全同期を実行することを推奨します。実行しない場合、一部のデータが同期に失敗する可能性があります。
-
単一アカウントのインポートに失敗しても、他のアカウントのインポートには影響しません。
-
Details をクリックして、失敗情報を表示できます。
-
-
DingTalk QRコードログオン:選択すると、Login メニューに[DingTalk QRコードログオン] 方法が作成され、有効になります。これにより、ユーザーは QR コードをスキャンしてすぐにログオンできます。
-
Trigger a full sync:選択すると、接続完了後に、DingTalk アドレス帳の認可範囲内にあるすべてのデータがインポートされます。
手順 2:スキャンして有効化
この手順では、DingTalk 管理者が QR コードをスキャンして、DingTalk 企業向けの無料サードパーティアプリケーションを有効にする必要があります。
ページに QR コードと手順が表示されます。アプリケーションがすでにアクティベートされている場合、[アプリケーションのアクティベートを確認して次へ] を直接クリックしてバインド手順に進むことができます。
QRコードをスキャンすると、管理者は DingTalk のアプリケーションアクティベーションページにリダイレクトされます。画面の指示に従ってアプリケーションをアクティベートします。このプロセスでは、[無料でアクティベート] をクリックし、使用範囲を選択し、[今すぐアクティベート] をクリックし、次に [アプリケーションを開く] をクリックしてバインドを完了します。
接続完了後に、IDaaS に同期する DingTalk アドレス帳の範囲を調整する必要がある場合は、「DingTalk Admin Console - Application Management」で IDaaS アプリケーションの設定を変更します。IDaaS は、同期中にこのアプリケーションの認可範囲を使用します。
手順 3:スキャンして接続
最後のステップでは、DingTalk 管理者がアプリケーション内の [DingTalk 管理者スキャンでバインド] ボタンをクリックし、このステップの QR コードをスキャンして確認します。これにより、接続が完了します。その後、Alibaba Cloud IDaaS は設定に基づいて完全同期または増分同期を実行し、ユーザーは DingTalk QR コードログオンを使用して IDaaS にログオンできるようになります。
DingTalk ID プロバイダーの管理
DingTalk を接続すると、自動的に IdPs メニューにリダイレクトされます。ここでは、ID プロバイダーの機能を管理できます。管理パネルは、[QR スキャンサインイン]、[IDaaS への同期]、[高度な設定] の 3 つの機能エリアで構成されています。各エリアは個別に有効化または無効化でき、[ログの表示]、[同期のトリガー]、[変更] などのアクションのリンクを提供します。
-
インポートステータスの確認
-
インポート通知: 接続プロセス中に Push/Pull Now を選択した場合、ページにステータス [インポート中...] が表示されます。 Logs をクリックして [同期タスク] ページに移動し、進捗状況を確認します。
-
携帯電話番号/メールアドレスがない場合の対応: 同期が完了すると、IdPs ページに通知が表示されます。インポートされたアカウントは、Alibaba Cloud IDaaS またはそのアプリケーションへの DingTalk QR コードログオンをすぐに使用できます。ただし、新しくインポートされたアカウントには携帯電話番号またはメールアドレスがありません。二要素認証やパスワードの復旧などの機能を有効にするには、この情報を追加することをお勧めします。詳細については、「DingTalk QR コードログオン」をご参照ください。
-
-
同期ターゲットの変更:同期ターゲットを変更した場合は、手動で完全同期をトリガーし、組織構造が想定どおりに更新されていることを確認する必要があります。
-
DingTalk QR コードログオン: 接続時に DingTalk Scan to Log On Version 方法を有効にすると、Alibaba Cloud IDaaS によって Login メニューに、対応するログオン方法が作成されます。 この機能は、[ID プロバイダー] または Login メニューから管理できます。 ユーザーはログオンページで QR コードをスキャンしてサインインできます。 詳細については、「DingTalk QR コードログオン」をご参照ください。
-
複数の DingTalk 組織への接続:IDaaS は、複数の DingTalk アドレス帳への接続をサポートしています。これを行うには、各 DingTalk 企業の管理者が有効化と接続のプロセスを完了する必要があります。複数の企業を管理する場合、アカウントを分離するために、それぞれ異なるターゲットノードに同期することを推奨します。たとえば、企業 A と企業 B のアドレス帳を IDaaS にインポートするには、まず IDaaS の組織構造のルートノード配下に「組織 A」と「組織 B」を作成することを推奨します。次に、接続プロセスで、企業 A は「組織 A」に同期し、企業 B は「組織 B」に同期するよう指定します。なお、1 つの DingTalk 企業は 1 つの IDaaS インスタンスにのみ接続できます。1 つの DingTalk 企業を複数の IDaaS インスタンスに接続する機能は、今後のリリースで追加される可能性があります。
DingTalk の高度な設定の有効化
DingTalk に接続した後、ID プロバイダーのページで高度な設定を有効にすると、DingTalk から完全なユーザー情報を取得できます。
DingTalk Enterprise を使用していて、専用アカウント機能を有効にしている場合、DingTalk Enterprise のセキュリティ設計により、IDaaS はこれらのアカウントから携帯電話番号を取得できません。携帯電話番号を使用するには、管理者がコンソールで追加するか、従業員がアプリケーションポータルで手動で追加する必要があります。
ID プロバイダー管理パネルの[高度な設定]セクションで、[無効]トグルをクリックして高度な設定を有効にします。
手順 1:機能の選択
現在、この手順で設定できる項目はありません。次の手順に進みます。
手順 2:アプリケーションの作成
この手順では、DingTalk のアプリケーション詳細を IDaaS に設定する必要があります。ページには 3 つの設定フィールド (事前入力済みの [CorpId]、[AppKey]、[AppSecret]) が表示されます。
DingTalk オープンプラットフォーム - 企業内開発にログインし、Add Application をクリックして、内部アプリケーションの基本情報を入力します。
[社内エンタープライズアプリケーションの作成] ダイアログボックスで、[アプリケーションタイプ] を [H5 ミニアプリ] に設定し、[アプリケーション名] と [アプリケーションの説明] を入力し、[開発モード] で [企業内開発] を選択してから、[作成] をクリックします。
アプリケーションの作成後、DingTalk のアプリケーション詳細ページに自動的にリダイレクトされます。AppKey と AppSecret をコピーし、IDaaS の対応するフィールドに貼り付けます。
これらの認証情報は、アプリケーション詳細ページの[アプリケーション認証情報]セクションで確認できます。
情報を入力した後、Complete Authorization をクリックします。Alibaba Cloud IDaaS は DingTalk への接続をテストします。情報が正しい場合は、Next ステップに進むことができます。
手順 3:権限の割り当て
このステップでは、DingTalk アプリケーション内で権限を割り当てる必要があります。Permission Management をクリックし、User Base Management とアプリケーション管理の配下にあるすべての権限を選択してから、[一括申請] をクリックします。
権限範囲には、All Employees を選択します。 Alibaba Cloud IDaaS に同期される DingTalk アドレス帳の範囲を調整する必要がある場合は、DingTalk 管理コンソール - アプリケーション管理で Alibaba Cloud IDaaS アプリケーションの設定を変更します。 Alibaba Cloud IDaaS は、同期時にこのアプリケーションの承認範囲を使用します。
承認を付与した後、Alibaba Cloud IDaaS で [承認の確認] ボタンをクリックします。IDaaS は、アプリケーションに必要な DingTalk アドレス帳の管理権限があることを検証します。チェックに合格すると設定は完了し、その後 Alibaba Cloud IDaaS は従業員の携帯電話番号やメールアドレスなどの情報を取得できるようになります。
Alibaba Cloud IDaaS のみがこの DingTalk アプリケーションにリクエストできるようにアクセスを制限する場合は、DingTalk のアプリケーションページの Security Setting で Egress IP アドレス を指定できます。複数の IP アドレスを、カンマで区切って、IPv4、ワイルドカード IPv4、IPv6、または IPv6 CIDR 形式で入力できます。このアプリケーションは従業員が日常的に使用するものではなく、データ同期用であるため、[アプリケーションホームページ URL] には任意の有効な URL を入力します。
手順 4:フィールドマッピングの調整 (任意)
フィールドマッピング を使用して、DingTalk のデータ (携帯電話番号やメールアドレスなど) を IDaaS アカウントのフィールドとして使用するためのルール、または携帯電話番号が一致する IDaaS アカウントに DingTalk ユーザーをバインドするためのルールを設定します。