配置企业微信认证源

如果您已经在使用企业微信作为您的办公IM软件，您可以通过配置企业微信作为认证源，将企业微信作为身份认证信息登录到本平台或者应用。 本文档将指导您如何配置企业微信认证源，在此之前，您需要拥有企业微信管理后台。

第一步：企业微信侧应用创建及配置

1. 创建应用

若已有稳定可用的已发布应用，此处也可不新建，直接点击需选用的应用进入详情页进行操作即可，为确保应用稳定可用，此处建议新建应用（以下操作需要登录企业微信管理平台，请先确保已经注册企业微信管理员账号，企业微信管理员账号注册流程请参见企业微信官网，此处不再赘述）。

1. 登录企业微信管理平台。（若链接无法直达，可如下图操作，通过进入企业微信官网，点击右上角「企业登录」进入后台管理登录界面）
2. 登录成功后，点击「应用管理」按钮，进入应用管理页面。
3. 在应用管理页面最下方找到【自建】区域，点击「创建应用」按钮，进入【创建应用】页面。
4. 进入【创建应用】页面，在创建应用页面填写「应用Logo」「应用名称」「应用描述」 并选择 「可见范围」。（提示：「可见范围」决定当前应用获取企业微信数据的范围，请根据业务需要进行数据范围选择，后期根据业务变化也可以再次修改，具体可参考步骤3:范围及权限管理）
5. 创建成功后，进入应用详情页面并提示「应用创建成功，可继续配置应用属性」，此时我们所需应用已经创建成功。

2. 查询企业微信凭证信息

企业微信凭证信息主要包含：企业ID、Agentid、Secret三个信息，主要用于后面One ID侧企业微信数据源配置使用。

1. 在【企业微信管理后台-应用管理-自建】区域找到上一步骤新创建应用，点击应用，进入应用详情页面。查看Agentid和Secret。（注意：Secret需要点击「查看」后，使用管理员账号在移动端企业微信App中进行确认，确认通过后，会将Secret放发送到企业微信App上）

2. 进入【企业微信管理后台-我的企业】页面，在我的企业页面查看「企业ID」信息。

3. 配置可信域名及可信IP

因企业微信开发管理规则要求，自建应用如想获取企业微信内数据，需提前配置可信域名及可信IP，以下步骤描述如何进行可信域名及可信IP配置。（注意：可信域名及可信IP配置是数据源配置的必须步骤，省略此步骤会造成接口调用失败，进而无法获取企业微信数据，配置此步骤需提前拥有企业可信域名并提前查询One ID所部署服务对外访问时IP地址信息）。

1. 在【企业微信管理后台-应用管理-自建】区域找到上一步骤新创建应用，点击应用，进入应用详情页面。在应用详情页面下方，找到开发者接口区域，点击「设置可信域名」，进入可信域名配置页面。

2. 在「可信域名」处填写公司官网可信的域名信息，点击「确定」。（注意：填写时，企业微信方会校验域名的真实性以及所有权，如校验不通过请参考本文末FAQ进行辅助排查）

3. 域名配置成功后，返回应用详情页面，在应用详情页面下方，找到开发者接口区域-企业可信IP，点击「配置」，进入可信IP配置页面。

4. 在「企业可信IP」地址框中，配置One ID部署机器对外访问的IP地址。（注意：如果是集群配置可配置多个，中间用英文；隔开）

4. 范围及权限管理

企业微信创建应用时会对应用所能访问的数据（包括：用户数据和组织机构数据）进行权限控制，此步骤描述如何进行访问权限配置。

1. 在应用详情页找到「可见范围」，显示的是当前应用可以访问数据的范围，点击「编辑」进入权限编辑页面。

2. 进入权限编辑页面，可对当前权限进行删除、添加等操作，点击「添加」按钮，进入添加页面。

3. 添加权限方式有「根据部门」「根据成员」「根据标签」三种，三种方式可以同时使用，也可以只使用其中一种或两种，具体可根据业务需要进行选择，选择完成点击「确认」。

4. 回到权限编辑页面，点击「完成」，完成权限变更操作。

第二步：OneID侧企微认证源配置

1. 登录腾讯统一身份的管理后台，点击登录模块下的「认证源」，选择企业微信认证源，点击「添加」。

2. 进入企业微信配置中，选择agent并填写在中获得的企业微信应用「AgentId」、「Secret」和「企业ID」 并且复制平台提供的「授权回调域」。 请注意：因大多数企业微信无法直接与外网进行链接，所以需要通过agent进行代理链接，具体可参考：Agent配置 。配置agent成功后，通过选择运行中agent完成对企业微信的通信连接。安装Agent的服务器已经要保证能和企微网络互通。

3. 一键获取凭证信息，当认证源已经完成企微数据源配置，并且企微数据源和企微认证源使用的是同一企微服务时，系统会自动获取您在数据源配置的企微信息，你可以点击选择企微数据源选项，自动拉取AD配置信息。

第三步：配置企业微信关联规则

在腾讯统一身份后台，点击下一步进入「关联规则」配置。「关联规则」主要分两部分：「匹配逻辑」和「未匹配逻辑」。

• 匹配逻辑 用户在使用企业微信认证源登录时，我们首先会根据企业微信侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。 如，企业微信默认匹配逻辑的条件组是：当企业微信人员的userid和腾讯统一身份中人员的userid字段一致时，我们将认为是同一人从而建立匹配关系，此时将登录至腾讯统一身份该人员。

您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组，每个条件组最多创建3个条件，条件组与条件组之间为或的关系（登录时按照条件组顺序由上至下执行），每个条件组下的条件与条件为且的关系。

• 未匹配逻辑 若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员，则按照执行「未匹配逻辑」。这里我们支持两种选择： 1、拒绝登录 此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录；

2、新建用户 此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户，继续完成登录。 需要填写的内容：

• 新建用户的映射关系（注意：腾讯统一身份创建用户时，手机号、邮箱、登录用户名三选一必填，请确保这些字段至少有一个且在企业微信侧有值；另外，新建用户属性必须包含上述的匹配条件，否则会影响您第二次登录）
• 新建用户的部门 企业微信的默认新建用户属性映射逻辑如下图，您也可以根据业务需要自行修改。

第五步：启用企微认证源

配置完成以上内容后，点击「保存并启用」并验证企微连接成功后，启动认证源。

您也可以只保存，返回到认证源页面进行启动。

第六步：在企业微信配置「授权回调域」

使用企业微信登录，需要回调至该域名下的页面。在企业微信应用管理页面，找到「授权登录」。

进入此页面，配置从此平台复制的「授权回调域」，企业微信登录后回到此域名。

此时，所有认证相关配置已完成

第七步：验证使用企微进行登录

1）回到One ID登录页，点击「SSO」，进入企业域名输入页。

2）输入企业域名，进入SSO登录页。

3）如果仅开通了企微认证源的话，将直接跳转企业微信登录页面。

4）如果同时开通了多个认证源的话，将跳转到腾讯统一身份SSO登录页面，选择「企业微信」跳转企业微信登录页面。

5）登录成功。即企业微信配置完成。

FAQ

1）Q：为什么没有展示可选的agent呢？

A：Agent需要部署并运行成功才能展示，请检查一下Agent是否已经正确安装？

2）Q：配置企微认证源信息后，点击下一步，提示「凭证不正确」？

A：1）请检查「AgentId」、「Secret」和「企业ID」三个信息是否正确。2）请检查Agent安装服务和企微服务是否网络互通。

3）Q：选择「未匹配逻辑-新建用户」，登录成功提示报错：创建用户失败，缺少必须属性。

A：请登录企微管理后台，选择配置的自建应用，打开「安全配置」，检查是否按步骤一中配置了必须的属性字段。