本文為您介紹如何在IDaaS中配置專屬釘釘單點登錄。
應用簡介
專屬釘釘助力企業打造專屬、安全、開放的數字化辦公運營平臺,定義企業自己的數字化工作學習方式。您可以單點登錄到專屬釘釘,實現企業身份到釘釘身份的打通。
需開通專屬釘釘的專屬賬號能力。
操作步驟
一、創建應用
請管理員前往,搜索到專屬釘釘應用。確認應用名后,即可完成添加流程。
添加后,會自動來到SSO配置頁。?
二、在IDaaS中配置SSO
IDaaS已經預先完成了專屬釘釘的所有SSO配置,您只需根據實際業務場景,調整如下配置即可:
1、授權模式使用隱式模式,并勾選id_token。登錄Redirect URI默認使用:默認地址
2、授權范圍建議選擇全員可訪問。如果只是組織中的部分員工需使用專屬釘釘,則可選擇手動授權,并在授權中手動授權賬戶或組織。
3、高級配置中的擴展 id_token中必須存在一條鍵(key)是sub的數據。在單點登錄到專屬釘時,專屬釘釘將根據sub匹配專屬釘釘用戶的userid,從而實現登錄。
sub的值(VALUE)目前支持兩種配置方式:
固定字段匹配:使用IDaaS賬戶中的某個字段與專屬釘釘用戶userid的匹配,從而匹配專屬釘釘用戶。值的格式為user.{IDaaS字段名}(如:user.userid、user.username),可在高級:賬戶字段表達式中了解更多信息。此時有兩種場景:
由 IDaaS 同步的用戶:需與專屬釘釘身份提供方字段映射中的釘釘字段userid的字段值一致。
專屬釘釘的存量用戶:需保證專屬釘釘用戶的userid和sub的值相同。
綁定關系匹配:通過IDaaS賬戶與專屬釘釘用戶的綁定關系匹配到專屬釘釘用戶。值的格式為user.identityProviderUserMap.{idpId}.identityProviderUserId,其中idpId字段在身份提供方頁面獲取。
此時有兩種場景:由 IDaaS 同步的用戶:此時IDaaS賬戶與專屬釘釘用戶已默認存在綁定關系,無須特殊注意。
專屬釘釘的存量用戶:通過字段映射中的映射標識可實現存量賬戶的綁定,綁定后即可正常使用。可在字段映射中了解更多信息。
如果此字段值配置有誤,用戶將無法登錄專屬釘釘。
三、在專屬釘釘中配置SSO
前往釘釘管理后臺,登錄到專屬釘釘管理后臺。
在安全與權限-組織代碼登錄中復制或申請組織代碼(您的用戶需要用這個代碼登錄專屬釘釘),登錄方式選擇sso登錄。
在安全與權限-SSO單點登錄設置中填寫IDaaS應用的相關信息:
配置方式:選擇OIDC協議認證。
配置參數:前往本文檔步驟一中所創建的IDaaS應用
Client ID:在通用配置的
client_id中獲取。Issuer:在登錄訪問-單點登錄-應用配置信息的Issuer中獲取。
Authorization URL:在登錄訪問-單點登錄-應用配置信息的授權端點中獲取。
OpenID Config URL:在登錄訪問-單點登錄-應用配置信息的發現端點中獲取。
四、嘗試SSO
專屬釘釘僅支持SP發起SSO,更多信息請查看文檔:用戶登錄步驟。