本文介紹綁定企業微信的操作步驟和常見用法。
實現場景
綁定企業微信后,您可以使用下述能力。
分類 | 實現能力 |
賬戶 |
|
登錄 |
|
開始前準備
企業微信出于安全考慮,調用通訊錄、身份校驗接口時需要校驗可信域名和可信IP,其中一個可信IP僅能用于企業微信中的一個企業,如果用于多個企業將被認定為服務商,從而導致通訊錄、身份校驗等接口不可用。
為了滿足企業微信的安全要求,您需要提前準備如下內容:
校驗項 | 準備內容 |
可信域名 | 一個專用的域名,該域名的所屬主體需和企業微信中的認證主體相同,建議提前配置為IDaaS EIAM實例的自定義域名。詳見:自定義域名。 |
可信IP | IDaaS EIAM實例中需要至少擁有一個可用的專屬端點。IDaaS EIAM將通過您的專屬公網出口IP訪問企業微信。詳見:網絡端點|配置專屬公網出口IP。 |
綁定企業微信
在身份提供方菜單中,單擊,即可開始綁定流程。
如果當前實例沒有可用的專屬端點,則需先添加專屬端點。更多信息請了解:網絡端點
第一步:創建應用
1、您需要在IDaaS EIAM中填寫以下信息:
顯示名稱:用戶在登錄、使用IDaaS EIAM時可能看到。
企業ID:請在企業微信管理后臺中的我的企業獲取。
AgentId:
請在企業微信管理后臺中創建企業自建應用。
請注意:創建應用中所選擇的可見范圍,即是使用IDaaS EIAM進行數據同步、登錄時有權限訪問的通訊錄數據(僅支持部門和成員)。您將在下述步驟中再次確認這些信息。
在應用詳情中獲取AgentId。
Secret:
在應用詳情中點擊查看Secret。
在彈窗中確認發送后,即可根據提示在企業微信中查看。
2、域名類型將影響您可以使用的企業微信的能力,以及下方開發信息的生成。不同域名類型的區別如下:
自備域名 | 自定義域名 | |
功能區別 | 僅能使用非敏感數據同步和掃碼登錄。 | 除了非敏感數據同步和掃碼登錄之外,還支持敏感數據同步和網頁授權登錄(即工作臺免登)。 |
配置區別 | 準備一個專用的域名作為可信域名(該域名的所屬主體需和企業微信中的認證主體相同),該域名在IDaaS EIAM中無任何業務邏輯;開發信息中的其余地址默認生成。 | 選擇一個可用的自定義域名(該域名的所屬主體需和企業微信中的認證主體相同),該域名涉及企業微信各項功能的使用,需保證其穩定可用;開發信息中的其余地址均通過您所選擇的自定義域名生成。 |
3、以域名類型使用自定義域名為例,您還需要將以下開發信息填寫到企業微信中:
可信域名:
在企業微信管理后臺的應用中,單擊設置可信域名。
填寫作為應用OAuth2網頁授權功能的可信域名。請注意,企業微信要求配置的可信域名必須對應企業主體,且與協議頭/鏈接路徑無關。
通過校驗后,您需要根據企業微信的指引,完成域名的歸屬認證。
企業可信IP:
您需要使用網絡端點的專屬公網訪問(操作文檔:配置專屬公網出口IP),實現IDaaS EIAM實例使用您的IP訪問企業微信。
在IDaaS EIAM的配置界面中,選擇網絡端點,查看專屬公網出口IP。
即可看到該實例可以使用的公網IP。單擊一鍵復制所有 IP。
在企業微信管理后臺的應用中,將復制的IP配置為的企業可信IP。
- 重要
IDaaS EIAM所使用的企業微信的所有接口,均通過可信IP調用。如果可信IP配置不準確或不可用,將影響企業微信數據同步和掃碼登錄等所有功能。由于企業微信可信IP的校驗邏輯未具體公開,您還應保留賬戶密碼或短信驗證碼等其他方式登錄IDaaS。
授權回調域:
在IDaaS EIAM的配置界面中,復制授權回調域。
在企業微信管理后臺的應用中,單擊設置企業微信授權登錄。
在Web 網頁中,單擊設置授權回調域。
如果域名類型為自定義域名,您還需要在應用詳情頁中設置應用主頁地址(網頁)。該地址是在企業微信工作臺免登后進入的地址。
完成上述配置后,即可單擊下一步,進入后續流程。
第二步:分配權限
在第二步中,根據指引調整可見范圍。可見范圍即是使用IDaaS EIAM進行數據同步、登錄時有權限訪問的通訊錄數據(僅支持部門和成員,不包含標簽)。如果進行數據同步,可見范圍將作為同步的來源節點。
第三步:選擇場景
在第三步中,選擇希望使用的場景能力。
能力說明
同步目標:企業微信的通訊錄數據將會導入到IDaaS的這個節點之下。
定時校驗:由于企業微信不支持查詢增量數據,IDaaS將于每日凌晨自動全量同步企業微信來源節點下的全量數據。
您可以在字段映射中設置映射標識,使用IDaaS賬戶的某個字段(如賬戶名)與企業微信用戶的某個字段(如
userid)進行匹配,如果匹配成功,將綁定并覆蓋更新;否則將創建IDaaS賬戶。如果需要及時同步數據,請手動觸發全量同步。
IDaaS內置了同步保護能力, 當30個以上的賬戶或10個以上的組織需要被刪除時,自動取消同步任務,以防止數據被誤刪除。建議根據企業規模調整同步保護設置。
掃碼登錄:開啟后,會在登錄菜單中創建企業微信掃碼登錄,并處于啟用狀態,可直接掃碼登錄。
網頁授權登錄:域名類型使用自定義域名時默認開啟,開啟后將支持在企業微信工作臺免登到IDaaS EIAM或應用,并支持授權后進行敏感數據同步。
獲取敏感數據需由用戶在企業微信環境中進入IDaaS EIAM手動授權(在發起免登時出現授權頁面)。授權后,將直接使用企業微信手機號、企業郵箱(如無企業郵箱則使用個人郵箱)作為IDaaS EIAM賬戶的手機、郵箱。
第四步:字段映射
如果您在IDaaS中已存在存量數據,需要企業微信成員/部門和IDaaS賬戶/組織綁定,或者希望使用企業微信中成員的某些字段數據作為IDaaS賬戶的數據,例如將企業微信成員的別名作為IDaaS賬戶的顯示名,則需要在第四步配置字段映射。
企業微信中的賬號ID(即userid)如果是由系統自動生成的,將允許被修改一次。由于此字段是IDaaS能唯一依賴的主鍵,如果該字段被修改,將導致對應的IDaaS賬戶被刪除并重新創建,請謹慎修改。
管理企業微信身份提供方
完成綁定后,會自動跳轉到身份提供方菜單中。您可在此處對與身份提供方聯動的不同功能進行管理。
重要提醒
掃碼登錄注意事項
企業微信掃碼登錄依賴授權回調域的配置。具體來說,您的用戶在訪問IDaaS EIAM或應用時如果需要登錄,瀏覽器中IDaaS EIAM登錄頁的域名、IDaaS EIAM企業微信身份提供方中的授權回調域、企業微信中配置的授權回調域三者必須完全一致,否則將無法使用企業微信掃碼登錄。
因此,如果您希望用戶通過自定義域名訪問IDaaS EIAM,建議將自定義域名設置為默認域名(詳見:自定義域名)、開啟自動跳轉功能,并將IDaaS EIAM和企業微信中的授權回調域均設置為自定義域名。
敏感數據同步注意事項
獲取敏感數據需由用戶在企業微信環境中進入IDaaS EIAM手動授權(在發起免登時出現授權頁面)。授權后,將直接使用企業微信手機號、企業郵箱(如無企業郵箱則使用個人郵箱)作為IDaaS EIAM賬戶的手機、郵箱。
用戶進行手動授權后,30天內再次進入企業微信應用頁面不會再彈出授權頁。若30天內用戶需要修改個人敏感信息授權,可進入企業微信應用(即在綁定身份提供方時在企業微信中創建的應用)詳情頁的個人敏感信息授權管理頁面,重新更改個人敏感信息授權。
除了用戶手動授權,管理員也需在企業微信的中檢查是否已設置所需的手機號、郵箱等敏感數據的展示,IDaaS EIAM只能獲取用戶授權且管理員設置顯示的用戶敏感數據。
預留其他登錄方式
阿里云IDaaS將盡最大努力保證您的企業微信通訊錄數據同步、身份驗證的可用性,但是由于企業微信的可信域名、可信IP等校驗方式和風險管控等規則并未具體公開,阿里云無法保證您能持續、穩定地通過企業微信賬號登錄IDaaS。
為避免企業微信不可用時無法登錄IDaaS,您還應保留賬戶密碼或短信驗證碼等其他方式登錄IDaaS。如您未采用其他方式登錄,導致無法登錄,因此造成的損失,由您自行擔責。
請在登錄方式中了解其他登錄方式的配置和使用。