全部產品
Search

搜尋本產品

    Identity as a Service:綁定企業微信

    文件中心

    Identity as a Service:綁定企業微信

    更新時間:Sep 26, 2025

    本文介紹綁定企業微信的操作步驟和常見用法。

    流程概述

    綁定企業微信到IDaaS只需要四步:

    1. 建立應用:在企業微信管理後台和阿里雲IDaaS控制台分別建立應用,配置基礎資訊並設定可信網域名稱和可信IP以滿足企業微信的安全要求。

    2. 分配許可權:調整企業微信應用的可見範圍,確定IDaaS可訪問的通訊錄資料(僅限部門和成員),作為後續資料同步的來源節點。

    3. 選擇情境:根據需求選擇功能情境(如通訊錄同步、掃碼登入、網頁授權登入等),並配置同步規則(如定時全量同步、欄位匹配邏輯)和登入方式。

    4. 欄位對應:將企業微信成員/部門的欄位與IDaaS賬戶/組織的欄位進行綁定或映射,確保資料關聯性和一致性。

    開始前準備

    企業微信出於安全考慮,調用通訊錄、身份校正介面時需要校正可信網域名稱和可信IP,其中一個可信IP僅能用於企業微信中的一個企業,如果用於多個企業將被認定為服務商,從而導致通訊錄、身份校正等介面不可用。為了滿足企業微信的安全要求,您需要提前準備如下內容:

    校正項

    準備內容

    可信網域名稱

    一個專用的網域名稱,該網域名稱的所屬主體需和企業微信中的認證主體相同,建議提前配置為IDaaS EIAM執行個體的自訂網域名。詳見:自訂網域名

    可信IP

    IDaaS EIAM執行個體中需要至少擁有一個可用的專屬端點。IDaaS EIAM將通過您的專屬公網出口IP訪問企業微信。詳見:網路端點|配置專屬公網出口IP

    實現情境

    綁定企業微信後,您可以使用下述能力。

    分類

    實現能力

    賬戶

    • 將企業微信通訊錄非敏感性資料同步到IDaaS EIAM。

    • 將企業微信通訊錄敏感性資料(手機號、郵箱等)同步到IDaaS EIAM。

    登入

    • 使用企業微信掃碼登入IDaaS EIAM或其中的應用。

    • 在企業微信網頁授權登入(即工作台免登)到IDaaS EIAM或其中的應用。

    配置步驟

    步驟一:建立應用

    1. 企業微信側建立。

      1. 在企業微信自建應用

        登入企業微信管理後台,在應用管理 > 應用中建立企業自建應用

      2. 配置應用資訊

        上傳應用logo,填寫應用程式名稱應用介紹(選填)並根據實際需求選擇可見範圍(可見範圍是使用IDaaS EIAM進行資料同步、登入時有許可權訪問的通訊錄資料)。返回應用管理頁面。

      3. 查看已建立的應用

        返回應用管理頁面。在自建欄可看到剛才已經建立的應用。

    2. IDaaS側建立

      1. 在IDaaS控制台中啟動企業微信繫結資料流程

        登入阿里雲IDaaS控制台,選擇對應的IDaaS執行個體。在身份提供方菜單中,單擊其他身份提供方 > 企業微信,即可開始繫結資料流程。

        重要

        如果當前執行個體沒有可用的專屬端點,則需先添加專屬端點。詳情請參見:添加專屬端點

      2. 填寫基礎資訊

        按要求填寫顯示名稱企業ID

        • 顯示名稱:使用者在登入、使用IDaaS EIAM時可能看到。

        • 企業ID登入企業微信管理後台,在我的企業 > 公司資訊中擷取企業ID

      3. 填寫應用資訊

        填寫應用資訊AgentIdSecret

        1. 企業微信管理後台,應用詳情頁面應用管理 > 應用中的自建應用擷取。

        2. 在應用詳情中Secret一欄,單擊查看

        3. 在彈窗中確認發送後,即可根據提示在企業微信團隊訊息中查看。

      4. 填寫開發資訊

        說明

        下面以自備網域名稱為例。如您選擇自訂網域名,需要在進入IDaaS EIAM執行個體中個人化 > 自訂網域名 > 添加自訂網域名,完成自訂網域名配置。

        1. 可信網域名稱

          網域名稱類型將影響您可以使用的企業微信的能力,以及下方開發資訊的產生。不同網域名稱類型的區別如下:

          分類

          自備網域名稱

          自訂網域名

          功能區別

          僅能使用非敏感性資料同步和掃碼登入。

          除了非敏感性資料同步和掃碼登入之外,還支援敏感性資料同步和網頁授權登入(即工作台免登)。

          配置區別

          準備一個專用的網域名稱作為可信網域名稱(該網域名稱的所屬主體需和企業微信中的認證主體相同),該網域名稱在IDaaS EIAM中無任何商務邏輯;開發資訊中的其餘地址預設產生。

          選擇一個可用的自訂網域名(該網域名稱的所屬主體需和企業微信中的認證主體相同),該網域名稱涉及企業微信各項功能的使用,需保證其穩定可用;開發資訊中的其餘地址均通過您所選擇的自訂網域名產生。

          1. 企業微信管理後台的應用詳情頁中,單擊設定可信網域名稱

          2. 填寫作為應用OAuth2網頁授權功能的可信網域名稱。

            說明

            請注意,企業微信要求配置的可信網域名稱必須對應企業主體,且與協議頭/連結路徑無關。

          3. 通過校正後,您需要根據企業微信的指引,完成網域名稱的歸屬認證。

        2. 企業可信IP。單擊下拉框,選擇專屬網路端點。

          1. 您需要使用網路端點的專屬公網訪問(操作文檔:配置專屬公網出口IP),實現IDaaS EIAM執行個體使用您的IP訪問企業微信。

          2. 在IDaaS EIAM的配置介面中,選擇網路端點,查看專屬公網出口IP

          3. 即可看到該執行個體可以使用的公網IP。單擊一鍵複製所有 IP

          4. 企業微信管理後台的應用中,將複製的IP配置為的企業可信IP

          重要

          IDaaS EIAM所使用的企業微信的所有介面,均通過可信IP調用。如果可信IP配置不準確或不可用,將影響企業微信資料同步和掃碼登入等所有功能。由於企業微信可信IP的校正邏輯未具體公開,您還應保留賬戶密碼或簡訊驗證碼等其他方式登入IDaaS。

        3. 授權回調域。

          1. 綁定企業微信-入方向的配置介面中,複製授權回調域。

          2. 企業微信管理後台的應用中,單擊設定企業微信授權登入

          3. Web 網頁中,單擊設定授權回調域。填入在IDaaS配置介面中,複製的授權回調域。

            說明

            如果網域名稱類型為自訂網域名,您還需要在應用詳情頁中設定應用首頁地址(網頁)。該地址是在企業微信工作台免登後進入的地址。

        完成上述配置後,即可單擊下一步,進入分配許可權流程。

    步驟二:分配許可權

    在第二步中,根據指引調整可見範圍可見範圍即是使用IDaaS EIAM進行資料同步、登入時有許可權訪問的通訊錄資料(僅支援部門和成員,不包含標籤)。如果進行資料同步,可見範圍將作為同步的來源節點。

    步驟三:選擇情境

    在第三步中,選擇希望使用的情境能力。

    能力說明

    • 同步目標:企業微信的通訊錄資料將會匯入到IDaaS的這個節點之下。

    • 定時校正:由於企業微信不支援查詢增量資料,IDaaS將於每日淩晨自動全量同步企業微信來源節點下的全量資料。

      • 您可以在欄位對應中設定映射標識,使用IDaaS賬戶的某個欄位(如賬戶名)與企業微信使用者的某個欄位(如userid)進行匹配,如果匹配成功,將綁定並覆蓋更新;否則將建立IDaaS賬戶。

      • 如果需要及時同步資料,請手動觸發全量同步。

      • IDaaS內建了同步保護能力, 當30個以上的賬戶或10個以上的組織需要被刪除時,自動取消同步任務,以防止資料被誤刪除。建議根據企業規模調整同步保護設定。

    • 掃碼登入:開啟後,會在登入菜單中建立企業微信掃碼登入,並處於啟用狀態,可直接掃碼登入。

    • 網頁授權登入:網域名稱類型使用自訂網域名時預設開啟,開啟後將支援在企業微信工作台免登到IDaaS EIAM或應用,並支援授權後進行敏感性資料同步。

    說明

    擷取敏感性資料需由使用者在企業微信環境中進入IDaaS EIAM手動授權(在發起免登時出現授權頁面)。授權後,將直接使用企業微信手機號、Alibaba Mail(如無Alibaba Mail則使用個人郵箱)作為IDaaS EIAM賬戶的手機、郵箱。

    步驟四:欄位對應

    如果您在IDaaS中已存在存量資料,需要企業微信成員/部門和IDaaS賬戶/組織綁定,或者希望使用企業微信中成員的某些欄位資料作為IDaaS賬戶的資料,例如將企業微信成員的別名作為IDaaS賬戶的顯示名稱,則需要在第四步配置欄位對應。

    說明

    企業微信中的帳號ID(即userid)如果是由系統自動產生的,將允許被修改一次。由於此欄位是IDaaS能唯一依賴的主鍵,如果該欄位被修改,將導致對應的IDaaS賬戶被刪除並重新建立,請謹慎修改。

    重要

    為保障企業與員工的資料安全與隱私,根據企業微信平台最新介面策略調整:

    自 2022年6月20日20:00 起,除通訊錄同步外,調用企業微信介面時,將不再返回以下敏感欄位:頭像、性別、手機、郵箱、Alibaba Mail、員工個人二維碼、地址。如您的應用需使用上述資訊,請通過企業微信 OAuth2.0 授權機制,引導管理員及員工主動授權相關許可權後擷取資料。

    管理企業微信身份提供方

    完成綁定後,會自動跳轉到身份提供方菜單中。您可在此處對與身份提供方聯動的不同功能進行管理。

    重要提醒

    掃碼登入注意事項

    企業微信掃碼登入依賴授權回調域的配置。具體來說,您的使用者在訪問IDaaS EIAM或應用時如果需要登入,瀏覽器中IDaaS EIAM登入頁的網域名稱、IDaaS EIAM企業微信身份提供方中的授權回調域、企業微信中配置的授權回調域三者必須完全一致,否則將無法使用企業微信掃碼登入

    因此,如果您希望使用者通過自訂網域名訪問IDaaS EIAM,建議將自訂網域名設定為預設網域名稱(詳見:自訂網域名)、開啟自動跳轉功能,並將IDaaS EIAM和企業微信中的授權回調域均設定為自訂網域名。

    敏感性資料同步注意事項

    擷取敏感性資料需由使用者在企業微信環境中進入IDaaS EIAM手動授權(在發起免登時出現授權頁面)。授權後,將直接使用企業微信手機號、Alibaba Mail(如無Alibaba Mail則使用個人郵箱)作為IDaaS EIAM賬戶的手機、郵箱。

    使用者進行手動授權後,30天內再次進入企業微信應用頁面不會再彈出授權頁。若30天內使用者需要修改個人敏感資訊授權,可進入企業微信應用(即在綁定身份提供方時在企業微信中建立的應用)詳情頁的個人敏感資訊授權管理頁面,重新更改個人敏感資訊授權。

    除了使用者手動授權,管理員也需在企業微信的我的企業 > 通訊錄管理 > 成員資料顯示中檢查是否已設定所需的手機號、郵箱等敏感性資料的展示,IDaaS EIAM只能擷取使用者授權且管理員設定顯示的使用者敏感性資料。

    預留其他登入方式

    重要

    阿里雲IDaaS將盡最大努力保證您的企業微信通訊錄資料同步、身分識別驗證的可用性,但是由於企業微信的可信網域名稱、可信IP等校正方式和風險管控等規則並未具體公開,阿里雲無法保證您能持續、穩定地通過企業微信帳號登入IDaaS。

    為避免企業微信不可用時無法登入IDaaS,您還應保留賬戶密碼或簡訊驗證碼等其他方式登入IDaaS。如您未採用其他方式登入,導致無法登入,因此造成的損失,由您自行擔責。

    請在通用配置中瞭解其他登入方式的配置和使用。