集成飞书身份源

配置流程

前提条件

• 请确保您已拥有飞书开放平台开发者账号的权限。
• 请确保您已拥有OneAccess管理门户的访问权限。

在飞书开放平台中创建应用

在飞书开放平台中创建应用并配置参数，确保飞书中的数据可同步至OneAccess。

1. 登录飞书开放平台。
2. 在飞书开放平台，单击“创建企业自建应用 ”，输入应用名称与描述，并上传Logo。

   

3. 单击2中创建的应用，选择凭证与基础信息，获取App ID与App Secret，该参数在设置导入配置中使用。
4. 选择成员管理 ，添加协作人员 。

   

5. 选择“应用功能 > 网页”，启用网页功能。

   

6. 选择安全设置，配置重定向URL，URL格式为 https://{租户域名}/api/v1/login/feishuqr。

   

7. 选择“权限管理”，配置应用的权限。

   

8. 选择“事件订阅”，配置Encrypt Key、Verification Token，设置请求网址，并添加事件。其中，请求网址指OneAccess添加飞书身份源后自动生成的回调地址，可参考设置导入配置。

   

9. 选择“版本管理与发布” ，创建版本并设置参数后，提交发布申请。待管理员审核完成之后，即可使用。

   

在OneAccess中添加飞书身份源

在OneAccess中配置身份源参数，确保OneAccess可同步飞书中的数据。

1. 在OneAccess中添加身份源。
   1. 登录OneAccess管理门户。
   2. 在导航栏中，选择“用户 > 身份源管理”。
   3. 在身份源管理页面，单击飞书身份源操作列的“添加身份源”，输入“名称”，单击“确定”。

2. 设置导入配置。
   1. 在飞书身份源列表页面，单击目标身份源的“详情”。

      

   2. 选择“导入配置”页签，填写导入配置参数，单击“确定”。其中，高级配置可以默认。

      表1 基础配置

      参数	说明
      * APP ID	飞书开放平台创建应用后生成的 App ID。可参考：3。
      * APP Secret	飞书开放平台创建应用后生成的 App Secret。可参考：3。
      * rootName	飞书管理后台的顶层组织同步后，在OneAccess侧显示的组织名称。
      Encrypt Key	数据的加密密钥，可参考8获取，出于安全考虑，建议配置。
      Verification Token	验证令牌，可参考8获取。
      回调注册	默认关闭，建议开启。开启后，飞书平台的数据会实时同步至OneAccess中。
      回调地址	开启回调注册后，由系统默认生成。同时，该地址需配置于飞书开放平台的应用中，可参考8。
      事件类型	开启回调注册后，由系统默认生成。

      表2 高级配置

      高级配置	说明
      选择组织	飞书身份源的组织同步至OneAccess后的父级组织。如果不填，将自动创建顶层组织。
      删除阈值	默认20%，该功能为平台提供的一种保护机制，支持自定义设置比例。当上游身份源应用禁用/删除超过设定的阈值数据，平台接到指令后，不会进行同步禁用/删除。
      组织匹配策略	飞书与OneAccess组织的映射关系。当OneAccess同步飞书组织时，根据该策略进行匹配。如属性名为编码、身份源属性名为组织编码，则飞书的组织同步后，组织的组织编码映射至OneAccess的组织编码。
      创建组织	默认开启。开启后，如果同步组织时匹配失败，则在OneAccess上创建匹配失败的组织。建议开启。
      更新组织	默认开启。开启后，如果同步组织时匹配成功，则在OneAccess上更新匹配成功的组织。建议开启。
      删除组织	当飞书的组织数据成功同步至OneAccess后，如果删除飞书中的组织，则OneAccess会和设置的删除阈值进行对比，删除组织数和上次同步数据总数的比值大于阈值则删除失败，删除组织数和上次同步数据总数的比值小于阈值则删除成功。
      用户匹配策略	飞书与OneAccess用户的映射关系，当OneAccess同步飞书用户时，根据该策略进行匹配。如属性名为手机号、身份源属性名为手机号，则飞书的用户同步后，用户的手机号映射至OneAccess的用户手机号。
      创建用户	默认开启。开启后，如果同步用户时匹配失败，则在OneAccess上创建匹配失败的用户。建议开启。
      更新用户	默认开启。开启后，如果同步用户时匹配成功，则在OneAccess上更新匹配成功的用户。建议开启。
      删除用户	当飞书的用户数据成功同步至OneAccess后，如果删除飞书中的用户，则OneAccess会和设置的删除阈值进行对比，删除用户数和上次同步数据总数的比值大于阈值则删除失败，删除用户数和上次同步数据总数的比值小于阈值则删除成功。

3. 设置对象模型。

   在身份源详情页面，在“对象模型”页签，可添加、修改、删除用户和组织的属性、映射规则。两者配置方法相同，以用户添加属性和映射规则为例。

   表3 对象模型

   参数		说明
   用户对象	属性定义	飞书身份源的用户属性。
   	映射定义	飞书与OneAccess用户数据同步时的映射规则，支持脚本转换。
   机构对象	属性定义	飞书身份源的组织属性。
   	映射定义	飞书与OneAccess组织数据同步时的映射规则，支持脚本转换。

   • 添加属性。
     1. 在“属性定义”页签，单击“添加”，弹出“添加属性”弹框。

        

     2. 选择“身份源可选属性”，输入“显示标签”、描述。
     3. 选择“类型”。当“类型”选择为“文本”时，需要设置“格式”。
     4. 设置该属性是否为必填，单击“确定”，属性添加完成。
   • 设置映射规则。

     在“映射定义”页签，单击“编辑”，通过设置转换方式、脚本表达方式、执行方式、系统用户设置映射规则。

     

     

     目前系统仅支持对接一个飞书的身份源，如果配置两个，会导致数据回收异常。

验证OneAccess同步飞书数据

1. 在飞书身份源详情页面，选择“导入同步”页签，单击“执行”。OneAccess将主动同步飞书身份源的数据，并生成操作记录，执行完成后，单击目标记录的“详情”，可查看详细信息。
   图1 查看详情
   

2. 同步成功后，选择“用户 > 组织与用户”，在“组织与用户”处可查看已同步至OneAccess的组织和用户。
3. 如果在“导入配置”中开启了“回调注册”，并在飞书开放平台中添加了相应配置。当飞书的数据有变更时，可以在“回调事件”中查看同步记录。