本文介紹如何將IDaaS中的應用集成到釘釘工作臺,實現應用在釘釘工作臺的單點登錄(免登)。
場景說明
IDaaS支持標準的SAML、OIDC等認證協議,可以快速實現數百款應用的單點登錄。通過本文檔,您可以將已經完成單點登錄配置的 IDaaS 中的應用集成到釘釘工作臺,實現應用在釘釘的免登。
操作步驟
步驟一:創建釘釘身份提供方
在正式開始應用配置之前,需要先創建釘釘身份提供方,實現IDaaS賬戶數據和釘釘用戶數據的綁定。您可以:
建議將釘釘掃碼登錄設置為默認登錄方式:用戶在釘釘工作臺單擊應用時,將自動實現免登。否則用戶需要手動在IDaaS登錄頁中切換為釘釘登錄,或者IDaaS已經是登錄狀態,才可實現釘釘工作臺免登。
步驟二:創建IDaaS應用
創建IDaaS應用,并配置單點登錄,以阿里云用戶SSO為例。
參考文檔:阿里云用戶SSO
步驟三:授權IDaaS應用
將IDaaS應用授權給需要訪問該應用的賬戶,可在單點登錄中設置為全員可訪問,也可在授權中根據賬戶或組織授權。只有擁有權限的賬戶才可訪問應用。
如果對接的是SAML應用(例如阿里云RAM),可在單點登錄中設置應用賬戶。用戶在進行單點登錄時,IDaaS會將用戶的IDaaS賬戶名或應用賬戶名傳遞給應用,應用根據該參數找到應用內的賬戶并實現登錄,從而實現單點登錄。因此,如果應用中有存量賬戶,請檢查能否和IDaaS賬戶對應,如果無法對應,請提前為用戶在應用中創建賬戶。
更多信息可參考:單點登錄通用說明
步驟四:拼接應用地址
拼接應用的登錄地址,格式為:https://{IDaaS用戶門戶地址}/login/go/{IDaaS應用ID}
其中,IDaaS用戶門戶地址從IDaaS實例列表頁或實例內獲取,如下圖所示。
IDaaS應用ID在IDaaS實例內的應用模塊中獲取,如下圖所示。
拼接后,即可獲取應用地址,如:
https://bm6sxxxx.aliyunidaas.com/login/go/app_mmhsgpkmsxxxxxxxxxxxxxxxx
步驟五:創建釘釘應用
前往釘釘開放平臺,在應用開發中創建企業內部應用。
以阿里云為例,填寫應用名稱等基本信息。
將步驟二中拼接的應用地址填寫到釘釘應用的開發管理中,如下圖所示。其中PC地址選填,填寫后才可在釘釘PC端工作臺中打開。
步驟六:授權釘釘應用
在完成測試和體驗后,將該釘釘應用正式發布。
完成發布后即可設置應用的權限范圍,可向全部員工、部分員工、僅管理員授權,其中在部分員工選項中可授權到用戶、組織或角色。
完成授權后,管理員可以在釘釘中為部分員工或全部員工設置應用入口。員工也可自行添加到自己的工作臺中。用戶在工作臺單擊應用圖標,即可實現免登。
此時的邏輯是IDaaS根據用戶的釘釘找到IDaaS中的賬戶,再根據IDaaS賬戶找到應用中的賬戶,從而實現應用的免密碼登錄。