集成钉钉身份源

配置流程

图1 配置流程

前提条件

• 请确保您已拥有钉钉开放平台账号管理员权限。具体可参考钉钉开放平台的帮助文档。
• 请确保您已拥有OneAccess管理门户的访问权限。

在钉钉开放平台中创建应用

在钉钉开放平台中创建小程序并配置参数，确保钉钉中的数据可同步至OneAccess。

1. 登录钉钉开放平台。
2. 在钉钉开放平台，选择“应用开发 > 企业内部应用 > 小程序”，创建应用，填写应用信息。具体可参考钉钉开放平台的帮助文档。
3. 配置应用参数。具体可参考钉钉开放平台的帮助文档。
   1. 在页面左侧单击“开发管理”，配置服务器出口IP。
   2. 在页面左侧单击“安全中心”，单击“添加”添加HTTP安全域名。
   3. 在页面左侧单击“权限管理”，选择权限范围后，分别单击“通讯录管理”和“智能人事”，批量申请这两个功能下的接口权限。

在OneAccess中添加钉钉身份源

在OneAccess中配置身份源参数，确保OneAccess可同步钉钉中的数据。

1. 在OneAccess中创建身份源。
   1. 登录OneAccess管理门户。
   2. 在导航栏中，选择“用户 > 身份源管理”。
   3. 在身份源管理页面，单击钉钉身份源操作列的“添加身份源”，输入“身份源名称”，单击“确定”。

2. 设置导入配置。
   1. 在钉钉身份源列表页面，单击目标身份源的“详情”。

      

   2. 在“导入配置”页签，填写配置参数，单击“确定”。其中，高级配置可以默认。

      表1 基础配置

      参数	说明
      * 企业ID	钉钉开放平台首页的CorpId，可登录开发者后台，单击“首页”，单击企业名称，在该企业信息下获取的CorpId即为企业ID。
      * AppKey	钉钉开放平台创建应用生成的AppKey。
      * AppSecret	钉钉开放平台创建应用生成的AppSecret。
      钉钉根部门ID	默认值是1，同步钉钉中所有组织的用户信息。如需同步部分组织的用户信息，您可以填写需要同步的部门 id。
      代理服务器地址	代理服务器的出口IP或域名地址。
      回调注册	默认关闭。开启后，钉钉的数据会实时同步至OneAccess中。可在身份源详情中的“回调事件”页签查看同步记录。
      回调地址	开启回调注册时，由系统默认生成。
      事件类型	开启回调注册时，由系统默认生成。

      表2 高级配置

      参数	说明
      选择根组织	钉钉身份源的组织同步至OneAccess后的父级组织。如果不填，将自动创建顶层组织。
      组织匹配策略	钉钉与OneAccess组织的映射关系。当OneAccess同步钉钉组织时，根据该策略进行匹配。如添加OneAccess属性名为编码、身份源属性名为组织编码，则钉钉的组织同步后，组织编码对应OneAccess的组织编码。
      创建组织	默认开启。开启后，如果同步组织时匹配失败，则在OneAccess上创建匹配失败的组织。建议开启。
      更新组织	默认开启。开启后，如果同步组织时匹配成功，则在OneAccess上更新匹配成功的组织。建议开启。
      删除组织	当钉钉的组织数据成功同步至OneAccess后，如果删除钉钉中的组织，则OneAccess会和设置的删除阈值进行对比，删除组织数和上次同步数据总数的比值大于阈值则删除失败，删除组织数和上次同步数据总数的比值小于阈值则删除成功。
      用户匹配策略	钉钉与OneAccess用户的映射关系，当OneAccess同步钉钉用户时，根据该策略进行匹配。如添加OneAccess属性名为手机号、身份源属性名为手机号，则钉钉的用户同步后，用户的手机号对应OneAccess的用户手机号。
      创建用户	默认开启。如果同步用户时匹配失败，则在OneAccess上创建匹配失败的用户。
      更新用户	默认开启。如果同步用户时匹配成功，则在OneAccess上更新匹配成功的用户。
      删除用户	默认对应OneAccess禁用用户选项，当钉钉的用户数据成功同步至OneAccess且开启回调注册后，如果删除钉钉中的用户，则在OneAccess系统会禁用该用户，同时OneAccess会和设置的禁用阈值进行对比，删除用户数和上次同步数据总数的比值大于阈值则禁用失败，删除用户数和上次同步数据总数的比值小于阈值则禁用成功。如果选择删除用户，OneAccess会同步删除用户，同样受删除用户阈值影响。
      禁用/删除用户阈值调节	默认20%，该功能为平台提供的一种保护机制，支持自定义设置比例。当上游身份源应用禁用/删除超过设定的阈值数据，平台接到指令后，不会进行同步禁用/删除。

3. （可选）设置对象模型。

   在身份源详情页面，选择“对象模型”页签，自定义用户对象、组织对象的属性和映射规则，两者配置方法相同，以用户添加属性和映射规则为例。

   表3 对象模型

   参数		说明
   用户对象	属性定义	钉钉身份源的用户属性。
   	映射定义	钉钉与OneAccess用户数据同步时的映射规则，支持脚本转换。
   机构对象	属性定义	钉钉身份源的组织属性。
   	映射定义	钉钉与OneAccess组织数据同步时的映射规则，支持脚本转换。

   • 添加属性。
     1. 在“属性定义”页签，单击“添加”，弹出“添加属性”弹框。

        

     2. 选择“身份源可选属性”，输入显示标签和描述。
     3. 选择“类型”。当“类型”选择为“文本”时，需要设置格式。
     4. 设置该属性是否为必填，单击“确定”，属性添加完成。
   • 设置映射规则。

     在“映射定义”页签，单击“编辑”，通过设置转换方式、脚本表达方式、执行方式、系统用户设置映射规则。

     

验证OneAccess同步钉钉数据

1. 在“导入同步”页签，单击“执行”，OneAccess主动同步钉钉的数据，并生成操作记录，单击目标记录的“详情”，可查看详细信息。

   

   

   首次需手动“执行”同步，如果开启回调注册，钉钉数据将实时同步至OneAccess中。

2. 同步成功以后，在“用户 > 组织与用户”处可查看已同步至OneAccess的组织和用户。
3. （可选）查看回调事件。

   当钉钉的数据有变更时，您可以在“回调事件”中查看钉钉主动同步至OneAccess的操作记录，包括创建、更新、删除等操作。

   回调事件由钉钉主动发起，前提是开启回调注册。

   图2 查看回调事件