飛書のバインド - Identity as a Service - Alibaba Cloud ドキュメントセンター

このトピックでは、飛書に接続する手順と一般的なユースケースについて説明します。

プロセスの概要

IDaaS を飛書に接続するには、4 つのステップが必要です：

アプリケーション権限の設定：飛書オープンプラットフォームでアプリケーションに必要な権限を設定し、必要なデータや機能にアクセスできるようにします。
開発設定：IDaaS コンソールで、コールバック URL やアプリケーション認証情報などの開発設定を行います。
シナリオの選択：ビジネスニーズに基づいて、適切な連携シナリオと認証方式を選択します。
フィールドマッピング：飛書のユーザー属性と IDaaS のユーザー属性のマッピングを設定し、正しいデータ同期を保証します。

ユースケース

飛書に接続すると、以下の機能を利用できます。

カテゴリ	機能
アカウント	飛書から IDaaS EIAM (従業員 ID およびアクセス管理) への連絡先データの完全同期 (定期検証を含む)。
ログイン	飛書の QR コードをスキャンして EIAM またはそのアプリケーションにログインします。シングルサインオン (SSO) を使用して、飛書のワークベンチから EIAM またはそのアプリケーションにログインします。

飛書への接続

IdPs メニューで、Other IdPs > Feishu をクリックして、接続プロセスを開始します。

ステップ 1：アプリケーション権限の設定

重要

飛書には詳細なアプリケーション権限要件があります。一部の権限は、管理者が承認し、アプリケーションが公開された後にのみ有効になります。これには他の管理者の支援が必要な場合があります。必要な権限がないと、データ同期などの機能は利用できません。このステップで権限設定を完了してから次に進むことを推奨します。

飛書アプリケーションの作成
1. 飛書オープンプラットフォームにアクセスし、開発者コンソールにログインして、カスタムエンタープライズアプリケーションを作成します。
2. アプリケーションが作成されると、その詳細ページが自動的に開きます。Credentials & Basic Info をクリックして、App ID と App Secret を取得します。
取得した App ID と App Secret を IDaaS に入力します。

Feishu アプリケーション詳細ページで、Permission Management > [権限を有効にする] をクリックします。[連絡先] で、以下の権限を付与します。これらの権限は連絡先への読み取りアクセスを許可するもので、データ同期とユーザーログインに必要です。表示されるダイアログボックスで、[Application Identity Permissions tenant_access_token] タブに切り替えます。左側のフィルターエリアで、[連絡先] カテゴリを選択し、必要な権限のチェックボックスを選択してから、[権限を有効にする] をクリックします。有効にする必要がある権限は、次のとおりです。

権限	値	説明
連絡先の基本情報を取得	contact:contact.base:readonly	--
ユーザー ID を取得	contact:user.employee_id:readonly	--
部門の基本情報を取得	contact:department.base:readonly	--
連絡先から部門の組織構造情報を取得	contact:department.organize:readonly	この権限を申請した後、レビューのためにバージョンリリース申請を提出する必要があります。権限は承認後にのみ有効になります。
ユーザーの基本情報を取得	contact:user.base:readonly	--
ユーザーの組織構造情報を取得	contact:user.department:readonly	この権限を申請した後、レビューのためにバージョンリリース申請を提出する必要があります。権限は承認後にのみ有効になります。
ユーザーのメールアドレスを取得	contact:user.email:readonly	この権限はオプションです。このフィールドを IDaaS に同期する必要がある場合にのみ有効にしてください。
ユーザーの携帯電話番号を取得	contact:user.phone:readonly	この権限を申請した後、レビューのためにバージョンリリース申請を提出する必要があります。権限は承認後にのみ有効になります。この権限はオプションです。このフィールドを IDaaS に同期する必要がある場合にのみ有効にしてください。

説明

リリース申請を提出すると、飛書は管理者に通知し、管理者は飛書管理コンソールでレビューする必要があります。

飛書のデータ権限の有効化
1. Permission Management セクションで、[アクセス可能なデータ範囲] に移動し、Configure をクリックします。
2. 要件に基づいて権限を選択します。この範囲は、どのユーザーおよび組織データを IDaaS に同期し、飛書でのログインに使用できるかを決定します。[アプリの利用可能な範囲と一致] を選択し、[保存] をクリックします。
IDaaS での送信。Feishu で権限設定を完了したら、IDaaS で Next をクリックします。IDaaS が API とデータの権限を検証し、必須の権限がすべて確認されると、次のステップに進むことができます。

ステップ 2：開発設定

基本情報の入力
1. Display Name を入力します。
2. [エンタープライズ ID] を入力します。エンタープライズ ID は、Feishu 管理コンソールから取得できます。
  
  飛書管理コンソールの左側のナビゲーションウィンドウで、[企業管理] > [企業概要] を選択します。ページ上部の企業名の下に 企業 ID (FE で始まる) が表示されます。
開発情報の設定
1. リダイレクト URL
  1. IDaaS での表示。リダイレクト URL はユーザーのログインリクエストを処理します。IDaaS で [開発設定] ページに移動し、[リダイレクト URL] フィールドを見つけて、表示されている両方の URL をコピーします。
  2. Feishu の設定。Feishu アプリケーション詳細で、Security Settings > Redirect URLs フィールドに URL を入力します。次に、Add をクリックします。
2. アプリケーションホームページ
  1. IDaaS での表示。IDaaS の [開発設定] ページで、[アプリケーションホームページ] フィールドを見つけて URL をコピーします。このホームページは、飛書のワークベンチから IDaaS ユーザーポータルへの SSO を有効にするために必要です。
  2. Feishu の構成。Feishu のアプリケーション詳細で、Add Application Capability セクションに移動し、Web Application を追加します。左側のナビゲーションバーで、[アプリ機能の追加] をクリックします。[機能別に追加] タブで、[Web アプリ] カードを見つけ、その下にある [+ 追加] ボタンをクリックします。
    
    機能を追加した後、Web アプリケーションの設定ページで、コピーした URL を [デスクトップホームページ] と [モバイルホームページ] フィールドに入力します。[開き方の設定] セクションで、[飛書内で新しいタブで開く] (推奨) または [ブラウザで開く] を選択します。次に、[保存] をクリックします。
3. IP ホワイトリスト
  1. IDaaS での表示。[共有エンドポイント] または [専用エンドポイント] を選択すると、対応する送信元 IP が表示されます。[展開] をクリックして完全な IP リストを表示します。[飛書が必要とする形式でコピー] をクリックして IP をコピーします。
    - 共有エンドポイント：共有エンドポイントは、EIAM インスタンスがネットワークアクセスに使用するデフォルトのネットワークエンドポイントです。すべての EIAM インスタンスがこのエンドポイントを共有します。パブリックインターネットアクセスのみをサポートします。
    - 専用エンドポイント：専用エンドポイントは、ご利用の EIAM インスタンス専用のネットワークエンドポイントです。専用エンドポイントを使用すると、専用の IP アドレスを使用して飛書とのデータ同期およびデリゲート認証を行うことができます。専用エンドポイントの詳細については、「ネットワークエンドポイント」をご参照ください。
  2. Feishu の構成。IP アドレスに基づいてネットワークアクセスを制限する場合は、IDaaS のエグレス IP リストをコピーし、[一括変更]を使用して、Feishu の アプリケーションのセキュリティ設定 > IP allowlist に追加します。

ステップ 3：シナリオの選択

使用したいシナリオ機能を選択します。

機能説明

同期先：ドロップダウンリストから Alibaba Cloud IDaaS を選択します。飛書からの連絡先データは、IDaaS のこのノードにインポートされます。
定期検証：デフォルトでは、IDaaS は毎日深夜に飛書データの完全同期を実行し、データ整合性を確保します。フィールドマッピングを使用して、IDaaS アカウントと飛書ユーザー間の照合ルールを指定できます (例：アカウント名をユーザー ID に照合)。一致が見つかった場合、既存のバインディングが更新されます。それ以外の場合は、新しいアカウントが作成されます。リアルタイム同期のためには、手動で完全同期タスクをトリガーできます。システムには、30 を超えるアカウントまたは 10 を超える組織が削除されることを検出した場合に同期を自動的に停止する保護メカニズムが組み込まれています。これにより、偶発的なデータ損失を防ぎます。組織の規模に応じてこのしきい値を調整することを推奨します。
定期検証サイクル：同期サイクルはデフォルトで 1 日 1 回に設定されていますが、cron 式を使用して時間をカスタマイズできます。
増分同期：この機能はデフォルトで無効になっており、接続完了後に手動で有効にする必要があります。イベント通知が設定されていない場合、増分同期は有効にできません。有効にするには、まず ID プロバイダーの設定を変更してイベント通知を設定する必要があります。
- [ID プロバイダー] ページで、作成した Feishu アプリケーションを見つけ、Modify をクリックします。
- [イベント設定] セクションで、Encrypt Key と Verification Token を入力します。これらの値は、Feishu アプリケーション詳細の [イベント & コールバック] > [暗号化戦略] セクションから取得できます。変更後、[イベント設定] ページに [暗号化キー]、[検証トークン]、および [リクエスト URL] フィールドが表示され、その下にある [イベントの追加] エリアには、サブスクライブしたイベントが一覧表示されます: contact.department.created_v3 (部署作成)、contact.department.deleted_v3 (部署削除)、contact.department.updated_v3 (部署情報変更)、contact.user.created_v3 (ユーザー作成)、contact.user.deleted_v3 (ユーザー削除)、contact.user.updated_v3 (ユーザー情報変更)、および contact.scope.updated_v3 (連絡先範囲の権限更新)。
- Feishu アプリケーション詳細の [イベント & コールバック] > Configure Event セクションに Request URL を入力し、この URL を開発者サーバーにイベントを送信するためのリクエスト URL フィールドに入力します。 Feishu アプリケーション詳細ページの左側のナビゲーションバーで、[イベント & コールバック] をクリックし、[イベント設定] タブを選択します。 [サブスクリプション方法] で、"開発者サーバーにイベントを送信" が選択されていることを確認し、サーバーコールバック URL を [リクエスト URL] 入力ボックスに入力します。
QR コードログイン：この機能を有効にすると、IDaaS ログインページに飛書の QR コードを使用してログインするオプションが表示されます。ユーザーは QR コードをスキャンして認証できます。アプリケーションホームページも設定されている場合、ユーザーは飛書のワークベンチから SSO 経由で直接 IDaaS にアクセスできます。

ステップ 4：フィールドマッピング

既存の飛書のメンバーや部門を IDaaS のアカウントや組織にリンクするには、このステップでフィールドマッピングを設定する必要があります。また、特定の飛書のフィールドを IDaaS のアカウント属性にマッピングすることもできます (例：飛書ユーザーの名前を IDaaS アカウントの表示名として使用)。

重要

飛書のユーザー ID である userid は、飛書ユーザーの一意の識別子であり、変更可能です。このフィールドは IDaaS が依存する唯一のプライマリキーであるため、変更すると対応する IDaaS アカウントが削除され、再作成されます。このフィールドは慎重に変更してください。

飛書 ID プロバイダーの管理

接続が完了すると、IdPsメニューにリダイレクトされ、そこで新しい ID プロバイダーの統合機能を管理できます。