docs-web-logo
使用指南

配置私有化企业微信认证源

如果您已经在使用私有化企业微信作为您的办公IM软件,您可以通过配置私有化企业微信作为认证源,将私有化企业微信作为身份认证信息登录到本平台或者应用。 本文档将指导您如何配置私有化企业微信认证源,在此之前,您需要拥有私有化企业微信管理后台。需要注意的是,私有化企微不同于SaaS企微,管理后台地址是不固定的。

第一步:创建企业微信应用

以管理员身份登录[私有化企业微信网站] ,并创建一个应用。

  1. 在「应用管理」,找到「自建应用」,选择「创建应用」 img

  2. 上传Logo,输入应用名称和应用描述,选择「可见范围」。可见范围决定了这个应用在企业微信可以访问的数据范围,需要慎重选择。

img

  1. 勾选「开发者能力」,并选择「安全配置」「授权登录」「API访问通讯录」「API设置应用」,因企业微信开发管理规则要求,自建应用如想获取企业微信内数据,需提前配置可信IP,可信IP为腾讯统一身份agent服务器访问IP,此处可随便填写,后续配置完成再进行修改。注意:可信域名及可信IP配置是数据源配置的必须步骤,省略此步骤会造成接口调用失败,进而无法获取企业微信数据,配置完成进入下一步。

img

  1. 进入自建应用页面,选择「安全配置」,点击「设置」。

img

  1. 配置「应用可读取字段」,按需配置应用可读取字段。重点注意:此处配置的是腾讯统一身份可获取企微的字段信息,未配置或缺少配置则会导致无法数据同步该字段信息,其中:姓名、部门为必须勾选项。

img img

  1. 进入安全配置中,配置「可信来源IP」。重点注意:此处配置的是安装agent的服务器的出口ip地址。 img

第二步:获取相关信息

  1. 回到自建应用页面,点击「开发者功能-API」,查看AgentId、Secret。请记录这个两个值,后面用于配制认证源使用。

img

  1. 点击「我的企业」,进入企业信息页面,查看CorpID字段(有些私有化企微此处显示是:企业ID)并记录。

img

第三步:在此平台创建企业微信认证源

  1. 登录腾讯统一身份的管理后台,点击登录模块下的「认证源」,选择私有化企业微信认证源,点击「添加」。 img

  2. 进入私有化企业微信配置中,选择agent并填写在中获得的企业微信应用「AgentId」、「Secret」和「企业ID」 并且复制平台提供的「授权回调域」。 请注意:因大多数私有化企业微信无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对私有化企业微信的通信连接。安装Agent的服务器已经要保证能和私有化企微网络互通。

img

  1. 一键获取凭证信息,当认证源已经完成私有化企微数据源配置,并且私有化企微数据源和私有化企微认证源使用的是同一私有化企微服务时,系统会自动获取您在数据源配置的私有化企微信息,你可以点击选择私有化企微数据源选项,自动拉取AD配置信息。

img

第四步:配置私有化企业微信关联规则

在腾讯统一身份后台,点击下一步进入「关联规则」配置。「关联规则」主要分两部分:「匹配逻辑」和「未匹配逻辑」。

  • 匹配逻辑 用户在使用 私有化企微认证源登录时,我们首先会根据 私有化企微侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。 如,私有化企微默认匹配逻辑的条件组是:当私有化企微人员的username和腾讯统一身份中人员的username字段一致时,我们将认为是同一人从而建立匹配关系,此时将登录至腾讯统一身份该人员。

img

您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组,每个条件组最多创建3个条件,条件组与条件组之间为或的关系(登录时按照条件组顺序由上至下执行),每个条件组下的条件与条件为且的关系。

  • 未匹配逻辑 若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员,则按照执行「未匹配逻辑」。这里我们支持两种选择: 1、拒绝登录 此时,通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录;

img

2、新建用户

通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户,继续完成登录。 需要填写的内容:

  • 新建用户的映射关系(注意:腾讯统一身份创建用户时,手机号、邮箱、登录用户名三选一必填,请确保这些字段至少有一个且在私有化企微侧有值;另外,新建用户属性必须包含上述的匹配条件,否则会影响您第二次登录) 私有化企微具体属性配置,可以参考文档字段映射

  • 新建用户的部门 私有化企微的默认新建用户属性映射逻辑如下图,您也可以根据业务需要自行修改。

img

第五步:启用私有化企微认证源

配置完成以上内容后,点击「保存并启用」并验证私有化企微连接成功后,启动认证源。 img

您也可以只保存,返回到认证源页面进行启动。 img

第六步:在企业微信配置「授权回调域」

使用私有化企业微信登录,需要回调至该域名下的页面。在私有化企业微信应用管理页面,找到「授权登录」。 img

进入此页面,配置从此平台复制的「授权回调域」,企业微信登录后回到此域名。 img

此时,所有认证相关配置已完成

第七步:验证使用私有化企微进行登录

1)回到One ID登录页,点击「SSO」,进入企业域名输入页。

img

2)输入企业域名,进入SSO登录页。 img

3)如果仅开通了私有化企微认证源的话,将直接跳转私有化企业微信登录页面。 img

4)如果同时开通了多个认证源的话,将跳转到腾讯统一身份SSO登录页面,选择「私有化企微」跳转私有化企业微信登录页面。 img

5)登录成功。即私有化企微配置完成。

FAQ

1)Q:为什么没有展示可选的agent呢?

A:Agent需要部署并运行成功才能展示,请检查一下Agent是否已经正确安装?

2)Q:配置私有化企微认证源信息后,点击下一步,提示「凭证不正确」?

A:1)请检查「AgentId」、「Secret」和「企业ID」三个信息是否正确。2)请检查Agent安装服务和私有化企微服务是否网络互通。

3)Q:选择「未匹配逻辑-新建用户」,登录成功提示报错:创建用户失败,缺少必须属性。

A:请登录私有化企微管理后台,选择配置的自建应用,打开「安全配置」,检查是否按步骤一中配置了必须的属性字段。