docs-web-logo
使用指南

配置私有化企业微信数据源

如果您已经在使用私有化企业微信作为您的办公IM软件,您可以通过配置私有化企业微信作为数据源,将您的组织架构快速导入到One ID中,同时进行后续的同步。

本文档将指导您如何配置私有化企业微信数据源,完成配置之后,通过自动同步或手动同步您可以将私有化企业微信组织架构数据同步至One ID目录中。在此之前,您需要拥有企业微信管理平台的权限

第一步:私有化企业微信侧应用创建及配置

以管理员身份登录[私有化企业微信网站] ,并创建一个应用。

  1. 在「应用管理」,找到「自建应用」,选择「创建应用」 img

  2. 上传Logo,输入应用名称和应用描述,选择「可见范围」。可见范围决定了这个应用在企业微信可以访问的数据范围,需要慎重选择。

img

  1. 勾选「开发者能力」,并选择「安全配置」「授权登录」「API访问通讯录」「API设置应用」,因企业微信开发管理规则要求,自建应用如想获取企业微信内数据,需提前配置可信IP,可信IP为腾讯统一身份agent服务器访问IP,此处可随便填写,后续配置完成再进行修改。注意:可信域名及可信IP配置是数据源配置的必须步骤,省略此步骤会造成接口调用失败,进而无法获取企业微信数据,配置完成进入下一步。

img

  1. 进入自建应用页面,选择「安全配置」,点击「设置」。

img

  1. 配置「应用可读取字段」,按需配置应用可读取字段。重点注意:此处配置的是腾讯统一身份可获取企微的字段信息,未配置或缺少配置则会导致无法数据同步该字段信息,其中:姓名、部门为必须勾选项。

img img

第二步:获取私有化企业微信相关信息

  1. 回到自建应用页面,点击「开发者功能-API」,查看AgentId、Secret。请记录这个两个值,后面用于配制认证源使用。

img

  1. 点击「我的企业」,进入企业信息页面,查看CorpID字段(有些私有化企微此处显示是:企业ID)并记录。

img

第三步:配置私有化企业微信数据源

  1. 进入在「通讯录-数据源」页面,选择「私有化企微」

img

  1. 手动填写私有化企微凭证信息

进入私有化企微应用凭证配置页面,填写相关配置信息。在配置项中依次填写选择agent、「AgentId」、「Secret」和「企业ID」。

请注意:因大多数私有化企微服务器无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对私有化企微的通信连接。

img

  1. 一键获取凭证信息

当认证源已经完成私有化企微认证源配置,并且私有化企微数据源和私有化企微认证源使用的是同一台私有化企微服务器时,系统会自动获取您在认证源配置的私有化企微信息,你可以点击选择私有化企微认证源选项,自动拉取私有化企微配置信息。

img

第四步:私有化企微数据源配置

根据您的实际需求,您可以选择以下步骤选其一进行配置,逐一配置完成后,点击「保存配置」即可生效。

  1. 数据范围配置

需注意,此处OneID暂不支持设置部门或人员范围,若同步过程有指定数据范围要求,可在第一步配置私有化企微凭证时,按照您的需求配置「可见范围」。 img

  1. 配置字段映射

字段映射可以将私有化企微中人员的字段信息和腾讯统一身份中人员的字段信息对应起来,在同步时会按照这种对应关系进行数据写入,对该配置项的具体说明可以参考文档字段映射

系统预置了常见的私有化企微的字段映射,如有调整,可以根据具体使用情况进行字段映射调整。

img

  1. 配置定时同步

定时器可以让同步任务定时触发,以保证私有化企微中的组织架构的变更能周期性地同步到腾讯统一身份中,对该配置项的具体说明可以参考文档同步方式

定时器可以设置触发时间和触发间隔。

img

  1. 配置删除保护

此处为了防止您误删除操作,我们设置了删除保护条件,系统执行同步任务之前将识别本次操作是否会触发保护条件,若满足保护条件,则本次同步任务将不会进行,我们会给您留下的联系方式发送通知,删除保护条件可支持修改(为了避免误删除操作带来的影响,若非频繁触发导致日常同步难以进行,不建议修改保护条件)。 注意:触发删除保护时,仅会自动停止您的删除操作请求,如果同一次同步中同时发起了新建、修改请求,新增、修改等请求会继续执行,不会受到影响。

img

第五步:配置私有化企微可信域名及可信IP

因企业微信开发管理规则要求,自建应用如想获取企业微信内数据,需提前配置可信域名可信IP,以下步骤描述如何进行可信域名及可信IP配置。(注意:可信域名及可信IP配置是数据源配置的必须步骤,省略此步骤会造成接口调用失败,进而无法获取企业微信数据,配置此步骤需提前拥有企业可信域名并提前查询One ID所部署服务对外访问时IP地址信息)。

1)在【企业微信管理后台-应用管理-自建】区域找到上一步骤新创建应用,点击应用,进入应用详情页面。在应用详情页面下方,找到开发者接口区域,点击「设置可信域名」,进入可信域名配置页面。

img

2)在「可信域名」处填写公司官网可信的域名信息,点击「确定」。(注意:填写时,企业微信方会校验域名的真实性以及所有权,如校验不通过请参考本文末FAQ进行辅助排查)

img

3)域名配置成功后,返回应用详情页面,在应用详情页面下方,找到开发者接口区域-企业可信IP,点击「配置」,进入可信IP配置页面。

img

4)在「企业可信IP」地址框中,配置One ID部署机器对外访问的IP地址。(注意:如果是集群配置可配置多个,中间用英文;隔开)

img

第六步:配置私有化企微范围及权限管理

企业微信创建应用时会对应用所能访问的数据(包括:用户数据和组织机构数据)进行权限控制,此步骤描述如何进行访问权限配置。

1)在应用详情页找到「可见范围」,显示的是当前应用可以访问数据的范围,点击「编辑」进入权限编辑页面。

img

2)进入权限编辑页面,可对当前权限进行删除、添加等操作,点击「添加」按钮,进入添加页面。

img

3)添加权限方式有「根据部门」「根据成员」「根据标签」三种,三种方式可以同时使用,也可以只使用其中一种或两种,具体可根据业务需要进行选择,选择完成点击「确认」。

img

img

4)回到权限编辑页面,点击「完成」,完成权限变更操作。

img

第七步:启动同步

为您提供了两种导入/同步的执行方式方式:手动同步、定时同步。

1. 手动同步

当您配置好私有化企微作为数据源后,您会在「数据源」页面下,看到「手动同步」按钮。

通过点击「手动同步」按钮,系统会立即执行一次导入/同步任务,手动同步的特点是即点即执行。

img

2. 定时同步

当您需要经常维护您的目录数据,但希望避免 “每一次维护后都进入腾讯统一身份后台去手动点击进行同步” 这样的繁琐操作时,您可以设置一个定时器来周期性地自动进行目录数据同步。

在第三步的「设置同步策略」模块,您可以打开定时同步开关,在弹出的时间设定选项中,设置定时同步的频率。

例如: 设置每1小时进行一次自动同步,每天的同步从零点开始,可以做如下设置:

img

第八步:查看同步日志

在同步运行完毕后,可进入账号同步的页面查看同步日志,展示了在什么时间,以手动或者自动的方式进行了同步,并且可以查看同步的成功数据和失败数据。

img

点击具体某条同步日志,可以查看具体同步详情。

img

进入日志详情页面,可查看同步数据具体详情信息。

img

其他:数据源更换(非必要不建议更换)

1)点击「数据源更换」按钮,二次确认更换后可更换数据源类型(此处若只需要更换应用凭证而非更换数据源类型,可参考上一步中修改凭证操作);

2)需注意,更换数据源操作后,原有数据源的所有配置和同步记录将清空,但是已同步至One ID侧的人员将保留。

FAQ

1)Q:为什么没有展示可选的agent呢?

A:Agent需要部署并运行成功才能展示,请检查一下Agent是否已经正确安装?

2)Q:配置私有化企微认证源信息后,点击下一步,提示「凭证不正确」?

A:1)请检查「AgentId」、「Secret」和「企业ID」三个信息是否正确。2)请检查Agent安装服务和私有化企微服务是否网络互通。

3)Q:选择「未匹配逻辑-新建用户」,登录成功提示报错:创建用户失败,缺少必须属性。

A:请登录私有化企微管理后台,选择配置的自建应用,打开「安全配置」,检查是否按步骤一中配置了必须的属性字段。