配置钉钉认证源
第一步:获取钉钉AppKey和AppSecret
1. 创建H5微应用
登录到钉钉开放平台。选择顶部菜单「应用开发」 -> 「企业内部开发」,点击左侧边栏「钉钉应用」,点击「创建应用」。
在弹出的窗口中,应用类型选择【H5微应用】。填写应用基础信息后,点击「确定创建」即可。
2. 复制应用凭证
点击创建后的应用,会自动跳转至该应用的应用信息,在应用凭证中复制ClientId、ClientSecret。
第二步:在腾讯统一身份侧配置钉钉认证源
1. 添加钉钉认证源
登录腾讯统一身份的管理后台,点击登录模块下的「认证源」,点击「添加认证源」。
选择钉钉认证源,点击「添加」。
填写上一步获取的应用凭证。
2. 生成回调链接
填写应用凭证完成后,复制生成的回调链接。
第三步:在钉钉侧进行参数配置
返回进入钉钉管理后台,进行回调链接添加和权限的配置。
1. 配置回调链接
在步骤一的自建H5微应用页面中,点击左侧边栏「开发配置」->「分享设置」,在【接入登录】模块填写步骤二中复制的回调链接,点击添加即可。
2. 开通权限
点击左侧边栏「开发配置」->「权限管理」,为应用开通以下权限:
-
个人权限(2个)
- 个人手机号信息
- 通讯录个⼈信息读权限
-
通讯录管理(5个)
- 企业员工手机号信息
- 通讯录部门信息读权限
- 成员信息读权限
- 根据⼿机号姓名获取成员信息的接⼝访问权限
- 通讯录部门成员读权限
3. 配置IP白名单
点击左侧边栏「开发配置」->「安全设置」,在「服务器出口IP」中增加腾讯统一身份出口IP:
请注意:由于安全管控要求,IP池中IP地址可能会出现些许变化。
4. 应用发布
左侧边栏选择“部署与发布” -> “版本管理与发布”,在“应用发布”下点击“确认发布”。
第四步:配置关联关系
返回腾讯统一身份后台,点击「下一步」切换至「关联规则」配置。「关联规则」主要分两部分:「匹配逻辑」和「未匹配逻辑」。
- 匹配逻辑
用户在使用钉钉认证源登录时,我们首先会根据钉钉侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。
如,钉钉默认匹配逻辑的条件组是:当钉钉人员的手机号(mobile)和腾讯统一身份中人员的手机号(mobile)字段一致时,我们将认为是同一人从而建立匹配关系,此时将登录至腾讯统一身份该人员。
您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组,每个条件组最多创建3个条件,条件组与条件组之间为或的关系(登录时按照条件组顺序由上至下执行),每个条件组下的条件与条件为且的关系。如,您可以配置这样的匹配逻辑:当钉钉人员的手机号(mobile)和腾讯统一身份中人员的手机号(mobile)字段一致或当钉钉人员的邮箱(email)与姓名(name)和腾讯统一身份中人员的邮箱(email)与用户名(name)字段一致时,我们将认为是同一人从而建立匹配关系。
- 未匹配逻辑
若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员,则按照执行「未匹配逻辑」。这里我们支持两种选择:
1、拒绝登录
此时,通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录;
2、新建用户
此时,通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户,继续完成登录。
钉钉的默认新建用户属性映射逻辑如下图,您也可以根据业务需要自行修改。(注意:腾讯统一身份创建用户时手机号、邮箱、登录用户名三选一必填,请确保这些字段至少有一个)
第五步:企业登录方式中启用钉钉
若您的配置已检查无误,您可点击回到「认证源」列表页,对当前钉钉认证源点击开启。
第六步:验证使用钉钉进行登录
1)回到One ID登录页,点击「SSO」,进入企业域名输入页。
2)输入企业域名,进入SSO登录页。
3)如果仅开通了钉钉认证源的话,将直接跳转钉钉登录页面。
4)如果同时开通了多个认证源的话,将跳转到腾讯统一身份SSO登录页面,选择「钉钉」跳转钉钉登录页面。
5)登录成功。即钉钉认证源配置完成。
FAQ
1)Q:配置完成后,提示「没有调用该接口的权限,接口权限申请请参考.......」
A:钉钉开放平台中未配置认证所需的接口权限,配置权限列表请参考第三步:在钉钉侧进行参数配置中,步骤2:开通权限。
2)Q:配置钉钉认证源信息后,点击下一步,提示「凭证不正确」
A:请检查「Client ID」、「Client Secret」信息是否正确。
3)Q:配置完成后,提示「问ip不在白名单之中,请参考.......」。
A:钉钉开放平台中未配置「服务出口IP」,配置服务出口IP,请参考第三步:在钉钉侧进行参数配置中,步骤3:配置IP白名单。