このドキュメントでは、Alibaba Cloud IDaaS と DingTalk を統合してインバウンドデータ同期を行う方法について説明します。この統合により、組織構造とユーザーの同期管理が可能になり、企業の ID 管理の効率とセキュリティが向上します。
シナリオ
IDaaS は、[ID プロバイダー] の概念を使用して、既存の企業 ID システムと IDaaS 間のフィルターの相互作用を管理します。Alibaba Cloud プロダクトとして、DingTalk は IDaaS とネイティブに統合されています。DingTalk をアタッチするための設定プロセスは簡単です。QR コードをスキャンして権限を付与することで、約 2 分でアタッチを完了できます。この簡単な設定により、次の機能が有効になります。
分類 | 特徴 |
アカウント |
|
ログイン |
|
アプリケーション |
|
DingTalk をアタッチする 2 つのメソッド
[ID プロバイダー] メニューから、DingTalk を IDaaS の ID プロバイダーとして追加し、そのプロセス中にすべての関連機能を有効にすることができます。
IDaaS は、DingTalk からデータをインポートするための 2 つのメソッドをサポートしています。
メソッド | 説明 |
サードパーティアプリケーションメソッド (DingTalk のクイックアタッチ) | このメソッドは、DingTalk サードパーティエンタープライズアプリケーションソリューションを使用します。QR コードをスキャンして権限を付与することで、設定を完了できます。 長所: 設定が簡単で、有効化も容易です。 説明 設定プロセス中に情報を入力する必要はありません。QR コードをスキャンして権限を付与するだけで設定が完了します。 短所: ユーザーの携帯電話番号とメールボックスをバッチで取得できません。管理者が情報を入力するか、ユーザーがログイン時に権限を付与する必要があります。 |
ファーストパーティアプリケーションメソッド (DingTalk 詳細設定) | このメソッドは、サードパーティアプリケーションメソッドを基盤としています。DingTalk 管理者は、DingTalk ファーストパーティアプリケーションを作成し、対応する権限を付与し、IDaaS で情報を設定する必要があります。 長所: 権限が柔軟で、完全なユーザー情報を取得できます。 短所: 設定期間が長くなります。 |
DingTalk のクイックアタッチ
[クイックスタート] または [ID プロバイダー] メニューから、[DingTalk のクイックアタッチ] をクリックして、インバウンドアタッチプロセスを開始します。
ステップ 1: シナリオの選択
最初のステップでは、DingTalk で実装したいシナリオ機能を選択します。特に希望がない場合は、次のステップに進むことができます。
機能説明
同期先: DingTalk アドレス帳データは、IDaaS のこのノードにインポートされます。
増分同期: この機能を有効にすると、IDaaS は DingTalk API を呼び出して DingTalk アドレス帳のイベントをリッスンします。DingTalk アドレス帳が変更されると、データはリアルタイムで IDaaS に同期されます。
フィールドマッピングでマッピング ID を設定できます。IDaaS アカウントのフィールド (携帯電話番号など) を使用して、DingTalk ユーザーのフィールド (携帯電話番号など) と照合します。一致が見つかった場合、IDaaS アカウントは上書きされて更新されます。それ以外の場合は、新しい IDaaS アカウントが作成されます。
増分同期の前に完全同期を実行することをお勧めします。そうしないと、一部のデータが同期に失敗する可能性があります。
単一のアカウントのインポートに失敗しても、他のデータのインポートには影響しません。
[ログの表示] をクリックすると、失敗情報を表示できます。
DingTalk QR コードでログイン: このオプションを選択すると、[ログイン] メニューに [DingTalk QR コードでログイン] ログインメソッドが作成され、有効になります。その後、QR コードをスキャンしてログインできます。
完全同期のトリガー: このオプションを選択すると、アタッチ完了後、DingTalk アドレス帳の権限付与された範囲内のすべてのデータがインポートされます。
ステップ 2: QR コードをスキャンしてサービスを有効にする
2 番目のステップでは、DingTalk 管理者に QR コードをスキャンしてもらい、DingTalk Enterprise 向けの無料のサードパーティアプリケーションである [Alibaba Cloud IDaaS] を有効にします。
DingTalk で QR コードをスキャンすると、アプリケーション有効化ページにリダイレクトされます。有効化プロセスを完了します。
アタッチが完了した後、IDaaS に同期する DingTalk アドレス帳の範囲を調整するには、DingTalk 管理コンソール - アプリケーション管理の Alibaba Cloud IDaaS アプリケーションで設定を変更できます。IDaaS は、同期中にこのアプリケーションの権限付与範囲を使用します。
ステップ 3: QR コードをスキャンしてアタッチする
3 番目の最後のステップでは、DingTalk 管理者に [Alibaba Cloud IDaaS] アプリケーションの [DingTalk 管理者が QR コードをスキャンしてアタッチ] ボタンをクリックしてもらいます。次に、このステップで提供された QR コードをスキャンし、操作を確認してアタッチを完了します。その後、IDaaS は設定に基づいて完全同期または増分同期を実行し、DingTalk ユーザーは QR コードをスキャンして IDaaS にログインできます。
DingTalk ID プロバイダーの管理
DingTalk をアタッチすると、自動的に [ID プロバイダー] メニューにリダイレクトされます。ここでは、ID プロバイダーとのフィルターの相互作用を持つさまざまな機能を管理できます。
インポートステータスの表示
インポートプロンプト: DingTalk をアタッチしたときに [アドレス帳の同期 - IDaaS へのインポート] を選択した場合、ページに [インポート中...] というメッセージが表示されます。[詳細の表示] をクリックして [同期タスク] ページに移動し、進捗状況を確認できます。
携帯電話番号またはメールボックスの欠落の処理: 同期が完了すると、[ID プロバイダー] ページにプロンプトが表示されます。インポートされたアカウントは、DingTalk で QR コードをスキャンして IDaaS またはアプリケーションにログインするために使用できます。ただし、新しくインポートされたアカウントには携帯電話番号またはメールボックスがありません。ユーザーが携帯電話番号またはメールボックスを追加することをお勧めします。そうしないと、二要素認証やパスワード取得などの関連機能がアクティブになりません。詳細については、「DingTalk QR コードでログイン」をご参照ください。
同期先の変更: 同期先を変更した場合は、その後手動で完全同期をトリガーして、組織構造が期待どおりであることを確認する必要があります。
DingTalk QR コードでログイン: DingTalk をアタッチしたときに [DingTalk QR コードでログイン - 有効化] を選択した場合、IDaaS は [ログイン] メニューに DingTalk QR コードログインメソッドを作成します。この機能は、[ID プロバイダー] または [ログイン] メニューから管理できます。ユーザーはログインページに移動し、DingTalk で QR コードをスキャンしてログインできます。詳細については、「DingTalk QR コードでログイン」をご参照ください。
複数の DingTalk アドレス帳のアタッチ: IDaaS では、複数の DingTalk アドレス帳をアタッチできます。これを行うには、別々の DingTalk Enterprise 管理者が各アドレス帳に対して QR コードのスキャンと有効化のプロシージャを完了する必要があります。複数の企業を管理する場合、異なる企業のアカウントを区別するために、異なるターゲットノードに同期したい場合があります。たとえば、DingTalk Enterprise A と Enterprise B のアドレス帳を IDaaS にインポートして一元管理するには、まず IDaaS 組織構造のルートノードの下に組織 A と組織 B を作成することをお勧めします。次に、各 DingTalk Enterprise をアタッチするときに、Enterprise A が組織 A に同期され、Enterprise B が組織 B に同期されるように指定します。ただし、1 つの DingTalk Enterprise は 1 つの IDaaS インスタンスにしかアタッチできません。同じ DingTalk Enterprise を複数の IDaaS インスタンスにアタッチする機能は、将来のリリースで利用可能になる可能性があります。
DingTalk 詳細設定の有効化
DingTalk をアタッチした後、ID プロバイダーページで DingTalk 詳細設定を有効にできます。詳細設定を有効にすると、完全な DingTalk ユーザー情報を取得できます。
DingTalk Enterprise を使用し、専属アカウント機能を有効にしている場合、DingTalk Enterprise のセキュリティ設計のため、IDaaS は専属アカウントに関連付けられた携帯電話番号を取得できません。携帯電話番号を使用するには、管理者がコンソールで追加するか、従業員がアプリケーションポータルで手動で追加する必要があります。
ステップ 1: シナリオの選択
最初のステップでは、設定可能な機能はありません。次のステップに進むことができます。
ステップ 2: アプリケーションの作成
2 番目のステップでは、DingTalk からのアプリケーション情報を IDaaS に入力する必要があります。
DingTalk オープンプラットフォーム - 企業内開発にログインし、[アプリケーションの作成] をクリックして、企業内アプリケーションの基本情報を入力します。
アプリケーションが作成されると、DingTalk のアプリケーション製品ページに自動的にリダイレクトされます。AppKey と AppSecret をコピーして IDaaS に貼り付けます。
情報を入力した後、[DingTalk に接続] をクリックします。IDaaS は DingTalk との接続をテストします。情報が正しければ、[次へ] のステップに進むことができます。
ステップ 3: 権限の割り当て
3 番目のステップでは、現在の DingTalk アプリケーションで権限を割り当てる必要があります。[権限管理] をクリックし、[アドレス帳管理] と [アプリケーション管理] の下のすべての権限を選択し、[一括リクエスト] をクリックします。
権限の範囲については、[すべての従業員] を選択します。IDaaS に同期する DingTalk アドレス帳の範囲を調整するには、DingTalk 管理コンソール - アプリケーション管理の [Alibaba Cloud IDaaS] アプリケーションで設定を変更できます。IDaaS は、同期中にこのアプリケーションの権限付与範囲を使用します。
権限付与が完了したら、IDaaS の [権限付与の確認] ボタンをクリックします。IDaaS は、アプリケーションに必要な DingTalk アドレス帳管理権限があるかどうかを確認します。チェックに合格すると、設定は完了です。その後、IDaaS は従業員の携帯電話番号やメールボックスなどの情報を取得できます。
IDaaS のみがこの DingTalk アプリケーションにリクエストを送信できるようにしたい場合は、DingTalk アプリケーションページの [セキュリティ設定] に [サーバーアウトバウンド IP] を入力します。
112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.***,112.124.***.***,112.124.***.***,112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.****このアプリケーションは主にデータ同期に使用され、従業員が日常的に使用するものではないため、[アプリケーションホームページ] には任意のアドレスを入力できます。
ステップ 4: フィールドマッピングの調整 (オプション)
DingTalk の携帯電話番号とメールボックス情報を IDaaS アカウントのユーザー名と携帯電話番号として使用する場合、または DingTalk ユーザーを同じ携帯電話番号を持つ IDaaS アカウントにアタッチする場合は、フィールドマッピングでこれらの設定を構成できます。