更新时间:2023-11-21 GMT+08:00
分享

集成钉钉身份源

OneAccess支持通过身份源导入用户和组织信息,实现OneAccess实时同步身份源中用户和组织信息。

本文为您介绍OneAccess集成钉钉身份源的方法。

配置流程

图1 配置流程

前提条件

  • 请确保您已拥有钉钉开放平台账号管理员权限。具体可参考钉钉开放平台的帮助文档。
  • 请确保您已拥有OneAccess管理门户的访问权限。

在钉钉开放平台中创建应用

在钉钉开放平台中创建小程序并配置参数,确保钉钉中的数据可同步至OneAccess。

  1. 登录钉钉开放平台
  2. 在钉钉开放平台,选择“应用开发 > 企业内部应用 > 小程序”,创建应用,填写应用信息。具体可参考钉钉开放平台的帮助文档。
  3. 配置应用参数。具体可参考钉钉开放平台的帮助文档。

    1. 在页面左侧单击“开发管理”,配置服务器出口IP。
    2. 在页面左侧单击“安全中心”,单击“添加”添加HTTP安全域名。
    3. 在页面左侧单击“权限管理”,选择权限范围后,分别单击“通讯录管理”和“智能人事”,批量申请这两个功能下的接口权限。

在OneAccess中添加钉钉身份源

在OneAccess中配置身份源参数,确保OneAccess可同步钉钉中的数据。

  1. 在OneAccess中创建身份源。

    1. 登录OneAccess管理门户。
    2. 在导航栏中,选择“用户 > 身份源管理”。
    3. 在身份源管理页面,单击钉钉身份源操作列的“添加身份源”,输入“身份源名称”,单击“确定”。

  2. 设置导入配置。

    1. 在钉钉身份源列表页面,单击目标身份源的“详情”。

    2. 在“导入配置”页签,填写配置参数,单击“确定”。其中,高级配置可以默认。
      表1 基础配置

      参数

      说明

      * 企业ID

      钉钉开放平台首页的CorpId,可登录开发者后台,单击“首页”,单击企业名称,在该企业信息下获取的CorpId即为企业ID。

      * AppKey

      钉钉开放平台创建应用生成的AppKey。

      * AppSecret

      钉钉开放平台创建应用生成的AppSecret。

      钉钉根部门ID

      默认值是1,同步钉钉中所有组织的用户信息。如需同步部分组织的用户信息,您可以填写需要同步的部门 id。

      代理服务器地址

      代理服务器的出口IP或域名地址。

      回调注册

      默认关闭。开启后,钉钉的数据会实时同步至OneAccess中。可在身份源详情中的“回调事件”页签查看同步记录。

      回调地址

      开启回调注册时,由系统默认生成。

      事件类型

      开启回调注册时,由系统默认生成。

      表2 高级配置

      参数

      说明

      选择根组织

      钉钉身份源的组织同步至OneAccess后的父级组织。如果不填,将自动创建顶层组织。

      组织匹配策略

      钉钉与OneAccess组织的映射关系。当OneAccess同步钉钉组织时,根据该策略进行匹配。如添加OneAccess属性名为编码、身份源属性名为组织编码,则钉钉的组织同步后,组织编码对应OneAccess的组织编码。

      创建组织

      默认开启。开启后,如果同步组织时匹配失败,则在OneAccess上创建匹配失败的组织。建议开启。

      更新组织

      默认开启。开启后,如果同步组织时匹配成功,则在OneAccess上更新匹配成功的组织。建议开启。

      删除组织

      当钉钉的组织数据成功同步至OneAccess后,如果删除钉钉中的组织,则OneAccess会和设置的删除阈值进行对比,删除组织数和上次同步数据总数的比值大于阈值则删除失败,删除组织数和上次同步数据总数的比值小于阈值则删除成功。

      用户匹配策略

      钉钉与OneAccess用户的映射关系,当OneAccess同步钉钉用户时,根据该策略进行匹配。如添加OneAccess属性名为手机号、身份源属性名为手机号,则钉钉的用户同步后,用户的手机号对应OneAccess的用户手机号。

      创建用户

      默认开启。如果同步用户时匹配失败,则在OneAccess上创建匹配失败的用户。

      更新用户

      默认开启。如果同步用户时匹配成功,则在OneAccess上更新匹配成功的用户。

      删除用户

      默认对应OneAccess禁用用户选项,当钉钉的用户数据成功同步至OneAccess且开启回调注册后,如果删除钉钉中的用户,则在OneAccess系统会禁用该用户,同时OneAccess会和设置的禁用阈值进行对比,删除用户数和上次同步数据总数的比值大于阈值则禁用失败,删除用户数和上次同步数据总数的比值小于阈值则禁用成功。如果选择删除用户,OneAccess会同步删除用户,同样受删除用户阈值影响。

      禁用/删除用户阈值调节

      默认20%,该功能为平台提供的一种保护机制,支持自定义设置比例。当上游身份源应用禁用/删除超过设定的阈值数据,平台接到指令后,不会进行同步禁用/删除。

  3. (可选)设置对象模型。

    在身份源详情页面,选择“对象模型”页签,自定义用户对象、组织对象的属性和映射规则,两者配置方法相同,以用户添加属性和映射规则为例。

    表3 对象模型

    参数

    说明

    用户对象

    属性定义

    钉钉身份源的用户属性。

    映射定义

    钉钉与OneAccess用户数据同步时的映射规则,支持脚本转换。

    机构对象

    属性定义

    钉钉身份源的组织属性。

    映射定义

    钉钉与OneAccess组织数据同步时的映射规则,支持脚本转换。

    • 添加属性。
      1. 在“属性定义”页签,单击“添加”,弹出“添加属性”弹框。

      2. 选择“身份源可选属性”,输入“显示标签”、描述。
      3. 选择“类型”。当“类型”选择为“文本”时,需要设置“格式”。
      4. 设置该属性是否为必填,单击“确定”,属性添加完成。
    • 设置映射规则。

      在“映射定义”页签,单击“编辑”,通过设置转换方式、脚本表达方式、执行方式、系统用户设置映射规则。

验证OneAccess同步钉钉数据

  1. 在“导入同步”页签,单击“执行”,OneAccess主动同步钉钉的数据,并生成操作记录,单击目标记录的“详情”,可查看详细信息。

    首次需手动“执行”同步,如果开启回调注册,钉钉数据将实时同步至OneAccess中。

  2. 同步成功以后,在用户 > 组织与用户处可查看已同步至OneAccess的组织和用户。
  3. (可选)查看回调事件。

    当钉钉的数据有变更时,您可以在“回调事件”中查看钉钉主动同步至OneAccess的操作记录,包括创建、更新、删除等操作。

    回调事件由钉钉主动发起,前提是开启回调注册。
    图2 查看回调事件

分享:

    相关文档

    相关产品