本文檔介紹如何將阿里雲IDaaS與DingTalk入方向對接,實現組織架構和使用者的同步管理,提升企業身份管理的效率和安全性。
實現情境
IDaaS 中有身份提供方概念,用於管理企業常見的、現有的身份系統和 IDaaS 之間的聯動。DingTalk作為阿里雲產品,和 IDaaS 之間有著天然的整合,綁定DingTalk的配置流程非常簡單,您只需要掃碼並授權,2 分鐘即可完成綁定。通過極其簡便的配置可實現如下能力:
分類 | 實現能力 |
賬戶 |
|
登入 |
|
應用 |
|
綁定DingTalk的兩種方案
您可以在身份提供方菜單中,將DingTalk添加為 IDaaS 的身份提供方,並在過程中開啟所有相關能力。
針對從DingTalk匯入資料的情境,IDaaS 支援兩種方案:
方案 | 說明 |
三方應用方案(快速綁定DingTalk) | 採用DingTalk三方公司專屬應用程式方案,掃碼授權即可完成配置。 優勢:配置極簡,開通方便。 說明 配置過程無需您填寫任何資訊,僅需掃碼授權,即可全部配置完成。 劣勢:無法批量擷取到使用者的手機號和郵箱,需管理員填寫或使用者在登入時授權。 |
一方應用方案(DingTalk進階配置) | 在三方應用方案的基礎上,需要DingTalk管理員建立DingTalk一方應用,開放對應許可權,並將資訊配置到 IDaaS。 優勢:許可權靈活,可擷取到完整的使用者資訊。 劣勢:配置周期較長。 |
快速綁定DingTalk
在快速入門或身份提供方菜單中,點擊快速綁定DingTalk,即可開始快速綁定DingTalk-入方向流程。
第一步:選擇情境
在第一步中,選擇希望和DingTalk實現的情境能力,若無偏好,可直接下一步。
能力說明
同步目標:DingTalk的通訊錄資料將會匯入到 IDaaS 的這個節點之下。
增量同步處理:啟用後,IDaaS 調用DingTalk介面,監聽DingTalk通訊錄事件。DingTalk通訊錄有變動,可即時將變動資料同步到 IDaaS 中。
您可以在欄位對應中設定映射標識,使用 IDaaS 賬戶的某個欄位(如手機號)與DingTalk使用者的某個欄位(如手機號)進行匹配,如果匹配成功,將覆蓋更新,否則將建立 IDaaS 賬戶。
建議在增量同步處理前進行一次全量同步,否則部分資料可能會同步失敗。
如果單條賬戶資料無法匯入,不影響其他資料匯入。
失敗資訊可通過查看日誌進行查看。
DingTalk掃碼登入:勾選後,會在登入菜單中建立DingTalk掃碼登入,並處於啟用狀態,可直接掃碼登入。
觸發一次全量同步:勾選後,將在完成綁定後匯入DingTalk通訊錄授權範圍內的全部資料。
第二步:掃碼開通
在第二步中,請DingTalk管理員掃描二維碼,為DingTalk企業開通阿里雲 IDaaS三方免費應用。
DingTalk掃碼後,將跳轉到應用開通頁面,完成開通流程。
在完成綁定後,如需調整同步到 IDaaS 的DingTalk通訊錄範圍,請在 DingTalk管理後台-應用管理 中的【阿里雲IDaaS】應用中調整,IDaaS 在同步時以該應用的授權範圍為準。
第三步:掃碼綁定
最後第三步,請DingTalk管理員在阿里雲 IDaaS應用中點擊DingTalk管理員掃碼綁定按鈕,掃描第三步中的二維碼並確認,即可完成綁定。此時IDaaS 會根據配置執行全量同步或增量同步處理,DingTalk使用者也可以掃碼登入 IDaaS。
管理DingTalk身份提供方
綁定DingTalk後,會自動跳轉到身份提供方菜單中。您可在此處對與身份提供方聯動的不同功能進行管理。
查看匯入狀態
匯入提示:若您綁定時選擇了同步通訊錄 - 匯入 IDaaS,那麼會在頁面上提示正在匯入中...。點擊【查看詳情】,即可跳轉到同步任務中查看進度。
手機號/郵箱缺失處理:同步完成後,會在身份提供方頁面進行提示。匯入進來的賬戶即可使用DingTalk掃碼登入 IDaaS 或應用。但剛匯入的賬戶缺失手機號/郵箱,我們會建議使用者補充手機號/郵箱,否則包含二次認證、找回密碼等相關功能將不可用。詳情查看:DingTalk掃碼登入。
修改同步目標:如果需要修改同步目標,請在修改後手動觸發全量同步,核對組織架構是否符合預期。
DingTalk掃碼登入:若您綁定時選擇DingTalk掃碼登入 - 啟用,IDaaS 會在登入菜單中建立DingTalk掃碼登入方式。您可以在身份提供方或登入菜單中對功能進行管理。使用者可以前往登入頁進行DingTalk掃碼登入。詳情查看:DingTalk掃碼登入。
綁定多個DingTalk:IDaaS 支援綁定多個DingTalk通訊錄,只需用不同的DingTalk企業管理員,按照上述掃碼開通流程即可完成。多企業管理的情況下,您可能希望不同企業賬戶同步到不同的目標節點,以作區分。例如希望將DingTalk企業 A 和企業 B 通訊錄匯入 IDaaS 中統一管理,我們建議您先在 IDaaS 組織架構根節點下,建立 A 組織和 B 組織,並在綁定DingTalk時,指定企業 A 同步到組織 A,企業 B 到組織 B。但反過來,一個DingTalk企業只能綁定一個 IDaaS 執行個體。若您同一個DingTalk企業綁定多個 IDaaS 執行個體的需求,請等待後續版本更新支援。
開啟DingTalk進階配置
完成綁定DingTalk後,可以按需在身份提供方頁開啟DingTalk進階配置,開啟進階配置後可以擷取到完整的DingTalk使用者資訊。
如果您使用的是專屬DingTalk並開啟了專屬帳號功能,由於專屬DingTalk的安全性設計,IDaaS 將無法擷取到專屬帳號下的手機號。如需使用手機號,需要管理員在控制台添加或員工在應用門戶手動補充。
第一步:選擇情境
在第一步中,目前暫不開放配置能力,可直接下一步。
第二步:建立應用
在第二步中需要將DingTalk中的應用資訊配置到 IDaaS 中。
登入 DingTalk開放平台-企業內部開發,點擊建立應用,填寫企業內部應用的基本資料。
完成建立後,將自動跳轉到DingTalk的應用詳情頁。依次將 AppKey 和 AppSecret 複製粘貼到 IDaaS 中。
完成填寫後,點擊串連DingTalk,IDaaS 將測試和DingTalk的串連,如果所填資訊正確,則可以進入下一步。
第三步:分配許可權
在第三步中,您需要在當前的DingTalk應用中分配許可權。點擊許可權管理,分別在通訊錄管理和應用管理中勾選全部許可權,並點擊批量申請。
許可權範圍請選擇全部員工。如需調整同步到 IDaaS 的DingTalk通訊錄範圍,請在 DingTalk管理後台-應用管理 中的阿里雲IDaaS應用中調整,IDaaS 在同步時以該應用的授權範圍為準。
完成授權後,在 IDaaS 中點擊確認已授權按鈕,IDaaS 將檢查該應用是否擁有DingTalk通訊錄系統管理權限,檢查通過則完成了配置,此時 IDaaS 即可擷取員工手機號、郵箱等資訊。
如果您希望只有 IDaaS 可以請求該DingTalk應用,請在該DingTalk應用頁面的安全設定中填寫伺服器出口IP:
112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.***,112.124.***.***,112.124.***.***,112.124.***.****,112.124.***.****,112.124.***.****,112.124.***.****由於該應用主要用於同步資料而不用於員工日常使用,應用首頁地址填寫任意地址即可。
第四步:調整欄位對應(可選)
如果您希望將DingTalk手機號、郵箱資訊作為 IDaaS 賬戶的使用者名稱、手機號等,或者將手機號相同的DingTalk使用者與 IDaaS 賬戶進行綁定,可以在欄位對應中進行配置。