配置钉钉认证源

第一步：获取钉钉AppKey和AppSecret

1. 创建H5微应用

登录到钉钉开放平台。选择顶部菜单「应用开发」 -> 「企业内部开发」，点击左侧边栏「钉钉应用」，点击「创建应用」。

在弹出的窗口中，应用类型选择【H5微应用】。填写应用基础信息后，点击「确定创建」即可。

2. 复制AgentId、AppKey和AppSecret

点击创建后的应用，会自动跳转至该应用的应用信息，在应用凭证中复制ClientId、ClientSecret。

第二步：在腾讯统一身份侧配置钉钉认证源

1. 添加钉钉认证源

登录腾讯统一身份的管理后台，点击登录模块下的「认证源」，点击「添加认证源」。

选择钉钉认证源，点击「确定」。

填写上一步获取的AgentId、AppKey和AppSecret。

2. 生成回调链接

填写AgentId、AppKey和AppSecret完成后，点击「保存」，待页面刷新后，复制生成的回调链接。

第三步：在钉钉侧进行参数配置

返回进入钉钉管理后台，进行回调链接添加和权限的配置。

1. 配置回调链接

在步骤一的自建H5微应用页面中，点击左侧边栏「应用功能」->「登录与分享」，在【接入登录】模块填写步骤二中复制的回调链接，点击添加即可。

2. 开通权限

点击左侧边栏「基础信息」->「权限管理」，为应用开通以下权限：

• 个人权限（2个）
  • 个人手机号信息
  • 通讯录个⼈信息读权限

• 通讯录管理（5个）
  • 企业员工手机号信息
  • 通讯录部门信息读权限
  • 成员信息读权限
  • 根据⼿机号姓名获取成员信息的接⼝访问权限
  • 通讯录部门成员读权限

3. 应用发布

左侧边栏选择“部署与发布” -> “版本管理与发布”，在“应用发布”下点击“确认发布”。

选择范围全部员工，点击保存。

第四步：配置关联关系

返回腾讯统一身份后台，点击页面顶部的tab切换至「关联规则」配置。「关联规则」主要分两部分：「匹配逻辑」和「未匹配逻辑」。

• 匹配逻辑

用户在使用钉钉认证源登录时，我们首先会根据钉钉侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。

如，钉钉默认匹配逻辑的条件组是：当钉钉人员的手机号（mobile）和腾讯统一身份中人员的手机号（mobile）字段一致时，我们将认为是同一人从而建立匹配关系，此时将登录至腾讯统一身份该人员。

您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组，每个条件组最多创建3个条件，条件组与条件组之间为或的关系（登录时按照条件组顺序由上至下执行），每个条件组下的条件与条件为且的关系。如，您可以配置这样的匹配逻辑：当钉钉人员的手机号（mobile）和腾讯统一身份中人员的手机号（mobile）字段一致或当钉钉人员的邮箱（email）与姓名（name）和腾讯统一身份中人员的邮箱（email）与用户名（name）字段一致时，我们将认为是同一人从而建立匹配关系。

• 未匹配逻辑

若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员，则按照执行「未匹配逻辑」。这里我们支持两种选择：

1、拒绝登录

此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录；

2、新建用户

此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户，继续完成登录。

钉钉的默认新建用户属性映射逻辑如下图，您也可以根据业务需要自行修改。（注意：腾讯统一身份创建用户时手机号、邮箱、登录用户名三选一必填，请确保这些字段至少有一个）

第五步：钉钉认证源登录测试

当您完成了钉钉认证源的配置之后，您可以点击「测试」按钮，来进行一次登录测试。

如果测试窗口成功打开了认证源的登录页，并且您能够通过正常的登录流程获取到登录结果信息，即证明您的认证源配置是正确的。

如果测试窗口未能成功打开，或您无法正常体验登录流程，则需要您重新检查您的配置信息是否正确。

第六步：企业登录方式中启用钉钉

若您的配置已检查无误，您可点击回到「认证源」列表页，对当前钉钉认证源点击开启。

配置成功后的企业登录场景

第一步：在企业SSO登录页面新增显示钉钉的登录入口（当您的企业仅开启了单个钉钉认证源时，SSO登录会直接跳转到钉钉登录页）。您可以在「企业信息」中直接获取到您所在企业的SSO登录地址。

第二步：在验证正确之后会成功登录进入本系统。