docs-web-logo
使用指南

配置企业微信认证源

如果您正在使用企业微信开展办公,可通过将其配置为认证源,实现使用企业微信账号登录本平台。

本文档将指引您完成配置流程。开始前,请确保您拥有企业微信管理后台的管理员权限。

第一步:企业微信侧应用创建及配置

1. 创建应用

若您已有稳定运行的已发布应用,可直接点击进入详情页操作。为确保业务环境的稳定性,建议您新建应用进行配置。

  1. 登录企业微信管理平台。(若链接无法直达,可如下图操作,通过进入企业微信官网,点击右上角「企业登录」进入后台管理登录页) img img
  2. 登录成功后,点击「应用管理」按钮,进入应用管理页面。 img
  3. 如图找到【自建】区域,点击「创建应用」按钮,进入【创建应用】页面。 img
  4. 填写「应用Logo」「应用名称」「应用描述」 并选择 「可见范围」。 💡 提示:「可见范围」决定从企微同步到OneID的数据范围,请根据业务需要进行数据范围选择。后期根据业务变化也可以再次修改。 img img
  5. 创建成功后,进入应用详情页面并提示「应用创建成功,可继续配置应用属性」,此时我们所需应用已经创建成功。 img

2. 查询企业微信凭证信息

企业微信凭证信息主要包含:企业IDAgentidSecret三个信息,用于OneID侧企业微信认证源配置使用。

  1. 在【企业微信管理后台-应用管理-自建】区域找到上一步骤新创建的应用,点击应用查看AgentidSecret。(注意:Secret需要点击「查看」后,使用管理员账号在移动端企业微信App中进行确认,确认通过后,会将Secret放发送到企业微信App上)

img img

  1. 进入【企业微信管理后台-我的企业】页面,在我的企业页面查看「企业ID」信息。

img

3. 配置可信域名及可信IP

配置须知: 根据企业微信开发管理规则,自建应用获取企业内部数据前,必须完成可信域名与可信 IP 的配置。若省略此步,将导致接口调用失败。

操作准备:

  • 域名: 提前准备已备案的企业可信域名。
  • IP 信息: 部署OneID Agent的服务器IP,需要可对外访问公网 IP。

以下为您详细说明配置步骤。

  1. 在【企业微信管理后台-应用管理-自建】区域找到上一步骤新创建应用,找到开发者接口区域,点击「设置可信域名」,进入可信域名配置页面。

img

  1. 在「可信域名」处填写公司官网可信的域名信息,点击「确定」。(注意:填写时,企业微信方会校验域名的真实性以及所有权。)

img

  1. 域名配置成功后,返回应用详情页面,在应用详情页面下方,找到开发者接口区域-企业可信IP,点击「配置」,进入可信IP配置页面。

img

  1. 在「企业可信IP」地址框中,填写部署OneID Agent的服务器IP。(注意:如果是集群配置可配置多个,中间用英文;隔开)

img

4. 应用可见范围管理

企业微信创建应用时会对应用所能访问的数据(包括:用户数据和组织机构数据)进行权限控制,此步骤描述如何控制同步至OneID的数据范围。

  1. 在应用详情页找到「可见范围」,显示的是当前应用可以访问数据的范围,也就是可以同步到OneID的数据。点击「编辑」进入编辑页面。

img

  1. 进入可见范围编辑页面,可对当前范围进行删除、添加等操作,点击「添加」按钮,进入添加页面。

img

  1. 可见范围控制支持三种:「根据部门」「根据成员」「根据标签」,三种方式可以同时使用,也可以只使用其中一种或两种,具体可根据业务需要进行选择,选择完成点击「确认」。

img

  1. 回到可见范围编辑页面,点击「完成」,完成权限变更操作。

img

第二步:OneID侧企微认证源配置

  1. 登录腾讯统一身份的管理后台,点击登录模块下的「认证源」,选择企业微信认证源,点击「添加」。

img

  1. 进入企业微信配置中,选择agent并填写在中获得的企业微信应用「AgentId」、「Secret」和「企业ID」 并且复制平台提供的「授权回调域」。 请注意:因大多数企业微信无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对企业微信的通信连接。安装Agent的服务器已经要保证能和企微网络互通。 img

  2. 若已经完成企微数据源配置,系统会自动获取您在数据源配置的企微信息,如果您打算企微数据源和企微认证源使用的是同一企微服务时,可以点击选择企微数据源选项,自动拉取企微配置信息,以节省您的配置时间。

img

第三步:配置企业微信关联规则

在OneID认证源配置中,「关联规则」主要分两部分:「匹配逻辑」和「未匹配逻辑」。

1. 匹配逻辑

用户在使用企业微信认证源登录时,我们首先会根据企业微信侧登录人员信息与OneID中的人员信息进行匹配。

如图,当企业微信人员的 userid 和 OneID人员的 username 一致时,我们将认为是同一人从而建立匹配关系。此时在OneID使用企微扫码登录后,可登录至OneID该人员。 img

您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组,每个条件组最多创建3个条件,条件组与条件组之间为或的关系(登录时按照条件组顺序由上至下执行),每个条件组下的条件与条件为且的关系。

2. 未匹配逻辑

若用户登录时通过「匹配逻辑」在OneID侧未找到与之匹配的人员,则按照执行「未匹配逻辑」。这里我们支持两种选择。

方式1:拒绝登录

通过「匹配逻辑」在OneID侧未找到与之匹配的人员会直接被拒绝登录。 img

方式2:新建用户

通过「匹配逻辑」在OneID侧未找到与之匹配的人员,会根据新建用户属性设置来在OneID侧新建用户,继续完成登录。

需要填写的内容:

  • 新建用户的映射关系(注意:OneID创建用户时,手机号、邮箱、登录用户名三选一必填,请确保这些字段至少有一个且在企业微信侧有值;另外,新建用户属性必须包含上述的匹配条件,否则会影响您第二次登录
  • 新建用户的部门

企业微信的默认新建用户属性映射逻辑如下图,您也可以根据业务需要自行修改。 img

第四步:启用企微认证源

配置完成以上内容后,点击「保存并启用」并验证企微连接成功后,启动认证源。 img

您也可以只保存,返回到认证源页面进行启动。 img

第五步:在企业微信配置「授权回调域」

使用企业微信登录,需要回调至该域名下的页面。在企业微信应用管理页面,找到「授权登录」。 img

进入此页面,配置从此平台复制的「授权回调域」,企业微信登录后回到此域名。 img

此时,所有认证相关配置已完成

第六步:使用企微进行登录验证

1)回到OneID登录页,点击「SSO」,进入企业域名输入页。

img

2)输入企业域名,进入SSO登录页。 img

3)如果仅开通了企微认证源的话,将直接跳转企业微信登录页面。 img

4)如果同时开通了多个认证源的话,将跳转到腾讯统一身份SSO登录页面,选择「企业微信」跳转企业微信登录页面。 img

5)登录成功。即企业微信配置完成。

常见问题(FAQ)

问:为什么没有展示可选的agent呢?

答:Agent需要部署并运行成功才能展示,请检查一下Agent在服务器上是否已经正确安装并启动。

问:配置企微认证源信息后,点击下一步,提示「凭证不正确」?

答:1)请检查「AgentId」、「Secret」和「企业ID」三个信息是否正确。2)请检查Agent安装服务和企微服务是否网络互通。

问:选择「未匹配逻辑-新建用户」,登录成功提示报错:创建用户失败,缺少必须属性。

答:请登录企微管理后台,选择对应配置的自建应用,打开「安全配置」,检查是否配置了必需的属性字段。