配置钉钉工作台进行免认证登录

如果您已经在使用钉钉作为您的办公IM软件，您可以通过配置钉钉工作台作为免认证登录，即可在钉钉工作台，点击相关应用直接进入腾讯统一身份平台。 本文档将指导您如何配置钉钉工作台免认证登录应用，在此之前，您需要拥有钉钉管理后台。

第一步：创建钉钉应用

如果您还没有开通钉钉开发者账号，请先前往钉钉开放平台创建一个开发者账号。 开通并登录开发者账号，在[开发者后台]切换到「应用」tab,创建一个应用 输入应用名称和应用描述。点击「保存」按钮。

第二步：获取应用凭证

创建完成之后，点击刚刚创建的应用实例，进入应用详情页面。 在钉钉应用详情的「凭证与基础信息」页面，您可以获取到该应用的 Client ID (原 AppKey 和 SuiteKey) 和 Client Secret (原 AppSecret 和 SuiteSecret)，请复制这两个参数。

第三步：在腾讯统一身份平台创建钉钉工作台

登录腾讯统一身份的管理后台，点击登录模块下的「工作台」，点击「添加」。 选择钉钉，点击「确定」。

填写在第二步中获得的钉钉应用「Client ID」、「Client Secret」。

回到钉钉开发者后台，在右上角找到CorpId，复制此参数。

将此参数粘贴到腾讯统一身份平台的钉钉工作台。

选择想要免认证登录的应用，目前One ID支持腾讯文档以及One ID平台。 如果您选择「腾讯文档」，则可以从钉钉工作台的对应应用直接打开并以登录态进入腾讯文档。 如果您选择「One ID平台」，则可以从钉钉工作台的对应应用直接打开并以登录态进入腾讯统一身份工作台。 注意：需要设置“钉钉内的链接默认在钉钉内部打开而非跳转到第三方浏览器”，如果跳出钉钉内置浏览器，用外部浏览器打开，可能会丢失登录态。

第四步：复制「回调链接」和「网页登录链接」

上述信息填写完毕后，复制下方的两条链接。

第五步：在钉钉后台配置相关链接

回到钉钉应用配置页面，找到「开发配置」-「安全设置」-「重定向URL」，粘贴从One ID处得到的「回调链接」

找到「应用能力」-「添加应用能力」-「添加网页应用」，粘贴从One ID处得到的「主页登录链接」

此时，钉钉应用参数相关配置完成。

如有需要，腾讯统一身份平台会提供相关IP，供用户使用。

请参考：服务器出口IP（可信IP）

第六步：完成配置工作台

回到腾讯统一身份平台，点击下一步进入「关联规则」配置。「关联规则」主要分两部分：「匹配逻辑」和「未匹配逻辑」。

• 匹配逻辑 用户在使用钉钉工作台登录时，我们首先会根据钉钉侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。 如，钉钉默认匹配逻辑的条件组是：当钉钉员的手机号和腾讯统一身份中人员的手机号字段一致时，我们将认为是同一人从而建立匹配关系，此时将登录至腾讯统一身份该人员。

这里我们支持最多创建2个条件，这2个条件之间是“或”的关系。（登录时按照条件组顺序由上至下执行），如，您可配置这样的匹配逻辑：当钉钉人员的手机号（mobile）和腾讯统一身份中人员的手机号（mobile）字段一致 “或” 当钉钉人员的邮箱（email）和腾讯统一身份中人员的邮箱（email）字段一致时，我们将认为是同一人从而建立匹配关系。

注意，此处您选了钉钉的条件之后，需要确认上述的应用里开放了这个条件相关的权限。 比如您配置了手机号（mobile）作为匹配条件，则钉钉应用需要开放访问手机号相关的权限。 注意，此处需要开通两个手机号，如下图所示：

• 未匹配逻辑 若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员，则按照执行「未匹配逻辑」。这里我们支持两种选择：

1、拒绝登录

此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录；

2、新建用户

此时，通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户，继续完成登录。 需要填写的内容：

• 新建用户的映射关系（注意：腾讯统一身份创建用户时，手机号、邮箱、登录用户名三选一必填，请确保这些字段至少有一个且在钉钉侧有值；另外，新建用户属性必须包含上述的匹配条件，否则会影响您第二次登录）
• 新建用户的部门 钉钉的默认新建用户属性映射逻辑如下图，您也可以根据业务需要自行修改。

第七步：启用钉钉工作台并发布钉钉应用

若您的配置已检查无误，您可以在新建之后点击「开启」，或者回到「工作台」列表页，对当前钉钉工作台点击开启。

同时，您需要把创建好的钉钉应用进行发布。

配置成功！

启用后，可以在钉钉工作台里看到您在钉钉创建的应用，点击后将直接登录到对应的应用。