使用AD/LDAP/IDaaS賬戶登錄專屬釘釘
本文介紹如何通過IDaaS將AD/LDAP 的賬戶/組織數(shù)據(jù)同步到專屬釘釘,并使用AD/LDAP/IDaaS賬戶登錄到專屬釘釘。
場景說明
如果您已使用專屬釘釘,通過IDaaS EIAM公有云版本(云身份服務(wù))的標準能力即可實現(xiàn)如下場景:
數(shù)據(jù)同步:將AD/LDAP等賬戶/組織數(shù)據(jù)同步到專屬釘釘,自動變更釘釘通訊錄,實現(xiàn)上下游數(shù)據(jù)的一致。
單點登錄:使用AD/LDAP/IDaaS等賬戶登錄到專屬釘釘(需開通專屬釘釘?shù)膶儋~號模塊)。
應(yīng)用免登:擴展釘釘免登能力,將IDaaS支持的應(yīng)用快速集成到釘釘工作臺,實現(xiàn)工作臺免登。
除此之外,IDaaS EIAM私有化版本可以很好地滿足更深度的產(chǎn)品或服務(wù)需求,例如:
深度集成專屬釘釘:需要與專屬釘釘在身份體系上更深度地集成,例如聯(lián)動專屬釘釘?shù)牡卿洃B(tài)/密碼/角色、使用Kerberos/API進行認證等。
復(fù)雜身份管理:正在使用多套身份體系(如HR、OA、IAM 等),需要系統(tǒng)地進行梳理和治理,以滿足復(fù)雜的身份管理場景。
其他需求:需要定制產(chǎn)品能力、完全的交付服務(wù)、部署到內(nèi)網(wǎng)或通過零信任組件打通內(nèi)網(wǎng)等。
歡迎加入阿里云IDaaS服務(wù)群(釘釘群號:33328593),獲取更多信息。
流程說明
使用AD/LDAP/IDaaS登錄到專屬釘釘時,本質(zhì)上是專屬釘釘作為IDaaS的一個應(yīng)用,用戶使用IDaaS賬戶登錄專屬釘釘。因此您依然可以使用IDaaS的認證能力,包括多種登錄方式、二次認證、密碼策略、登錄頁面等等。下圖以AD為例展示該流程。
管理員操作步驟
以下文檔適用于IDaaS EIAM公有云版本(云身份服務(wù))。
在正式開始之前,您需要先創(chuàng)建IDaaS實例,請參考文檔:1.免費開通實例
一、同步現(xiàn)有身份數(shù)據(jù)到IDaaS
如果您使用的是IDaaS標準支持的身份提供方,您只需通過頁面配置,即可實現(xiàn)上游身份數(shù)據(jù)和IDaaS身份數(shù)據(jù)的同步。
將AD數(shù)據(jù)同步到IDaaS:綁定AD。
將OpenLDAP數(shù)據(jù)同步到IDaaS:綁定OpenLDAP。
如果您使用的是HR/OA/IAM/自建應(yīng)用,您可以視情況選擇不同的方案。
如果您希望自主開發(fā)實現(xiàn),您可以自行接入IDaaS應(yīng)用的DeveloperAPI,直接將身份數(shù)據(jù)導(dǎo)入IDaaS。請參考文檔:應(yīng)用開發(fā)API說明。
如果您希望由IDaaS團隊代為處理,有兩種私有化方案。
同步組件私有化:如果您的身份體系比較單一,請選用IDaaS的同步組件-Connector。將該組件私有化部署到您的內(nèi)網(wǎng)后,即可將數(shù)據(jù)同步到IDaaS。
IDaaS私有化:如果您的身份體系比較復(fù)雜,需要系統(tǒng)地進行梳理和治理,請選用IDaaS私有化版本。該版本支持深度、靈活的身份管控能力和定制開發(fā)。
加入阿里云IDaaS服務(wù)群(釘釘群號:33328593),可聯(lián)系我們獲取IDaaS私有化的更多信息。
二、同步IDaaS身份數(shù)據(jù)到專屬釘釘
將IDaaS的身份數(shù)據(jù)同步到專屬釘釘后,即可完成企業(yè)上游身份數(shù)據(jù)(如AD/LDAP)和專屬釘釘通訊錄數(shù)據(jù)的聯(lián)動,實現(xiàn)一處修改,處處生效的效果。
將IDaaS數(shù)據(jù)同步到專屬釘釘請參考文檔:綁定釘釘-出方向。
在綁定釘釘-出方向的流程中,專屬釘釘?shù)呐渲糜腥缦伦⒁馐马棧?/p>
1、在創(chuàng)建應(yīng)用的釘釘版本中,選擇專屬版釘釘。
2、在字段映射步驟中,釘釘用戶的userid字段涉及到專屬釘釘?shù)牡卿洠ㄗh使用IDaaS userId或username作為字段值。本文檔的步驟三中有詳細說明。
三、創(chuàng)建IDaaS應(yīng)用
IDaaS已經(jīng)預(yù)集成了專屬釘釘應(yīng)用,您只需簡單操作,即可完成專屬釘釘?shù)膯吸c登錄配置。
參考文檔:專屬釘釘SSO。
四、設(shè)置登錄方式
您可以在IDaaS實例的登錄中,設(shè)置不同的登錄方式(如AD、LDAP、IDaaS賬戶密碼、IDaaS短信驗證碼等)、二次認證策略和密碼策略。參考文檔:登錄方式,二次認證,密碼策略。
在釘釘移動端環(huán)境中將隱藏釘釘?shù)卿浄绞竭x項。
如果您希望用戶使用AD/LDAP賬戶進行登錄,可以在AD或LDAP身份提供方中進行自定義,使用userPrincipalName、sAMAccountName、uid、mail等字段作為登錄名進行登錄。參考文檔:AD個性化配置,LDAP個性化配置。
您也可以對IDaaS登錄頁進行個性化配置,此頁面將在用戶登錄專屬釘釘時展示。參考文檔:企業(yè)信息。
用戶登錄步驟
完成上述管理員操作步驟后,用戶即可使用AD/LDAP/IDaaS賬戶登錄到專屬釘釘。專屬釘釘PC端、APP端、WEB端均可使用該方式登錄,本節(jié)以專屬釘釘PC端為例演示登錄流程。
一、點擊專屬賬號登錄
打開釘釘PC端,單擊專屬賬號登錄。
二、輸入組織代碼
輸入組織代碼,單擊下一步,即可跳轉(zhuǎn)到IDaaS登錄頁。在按鈕的右下方有組織代碼的獲取方式。
三、輸入賬戶密碼
在IDaaS登錄頁中輸入賬戶密碼,管理員可以設(shè)置默認登錄方式,如下圖所示默認使用企業(yè)的AD賬號密碼登錄;也可在下方切換為其他登錄方式。單擊登錄后可能需要進行IDaaS的二次認證。
四、綁定手機號
首次登錄時,您需要在專屬釘釘中綁定手機號,完成綁定后即可進入專屬釘釘界面、使用相關(guān)功能。
