iOA 零信任安全管理系统 iOA 私有化企业微信对接-操作指南（私有化版）-文档中心-腾讯云

身份源：您导入组织架构的企业微信会和使用的 iOA 产品进行绑定，您可以给已导入的企业微信身份源创建多个身份目录进行同步。暂时不支持同一个 iOA绑定多个企业微信主体的身份源。
认证源：您创建的企业微信认证源需要和您导入企业微信身份源保持一致。相同企业微信的认证源可以创建多个，不受此影响。
 如果您之前的企业微信后台安装过腾讯零信任 iOA 的应用，请删除原有应用，重新安装。 
实现效果
类型\\操作步骤
选择组织域
选择登录方式
登录效果
浏览器
﻿
﻿
﻿
﻿
﻿
﻿
﻿
﻿
﻿
客户端
﻿
﻿
﻿
﻿
﻿
﻿
﻿
﻿
﻿
步骤一：企业微信认证准备
1. 域名验证
由于企业微信需要通过受信域名才能进行对接，所以需要您提前准备： 
说明：
需配置备案主体与当前企业主体相同或有关联关系的域名，详情请参见 企业内部开发配置域名指引。   
如果已有域名且通过了备案，可跳过步骤1和2。
1. ﻿申请一个域名。
2. ﻿域名备案。
3. ﻿将可信域名指向企微代理服务器 IP。
2. 配置企业微信自建应用
1. 登录 企业微信管理后台，单击上方的应用管理，默认进入应用页面。
2. 在应用页面，单击自建 > 创建应用。
﻿
3. 在创建应用页面，配置相关参数，单击创建应用。
说明：
可见范围务必包含需要同步的组织范围，否则无法同步组织；建议设置为根目录。
﻿
3. 设置可信域名
1. 在应用页面，单击刚刚创建的自建应用。
2. 在应用详情页面，选择开发者接口，单击设置可信域名。
﻿
3. 在设置可信域名窗口中，输入 域名验证 中要求的可信任域名，单击申请校验域名。
﻿
4. 在设置可信域名窗口中，单击下载文件，并将该文件发送给腾讯项目对接人。
﻿
5. 待腾讯项目对接人上传文件至企微代理服务器后，单击确定，完成可信域名配置。
﻿
4. 设置企业可信 IP
1. 在应用页面，单击刚刚创建的自建应用。
2. 在应用详情页面，选择开发者接口，单击企业可信 IP 中的配置。
﻿
3. 在企业可信 IP 窗口中，输入 IP 地址。
说明：
IP 地址为企微代理服务器 IP，请联系腾讯项目对接人获取。
﻿
5. 获取企业 ID 和自建应用 Secret
1. 登录 企业微信管理后台，单击上方的我的企业，默认进入企业信息页面。
2. 在企业信息页面的下方，获取企业 ID。
﻿
3. 单击上方的应用管理，并选中刚刚创建好的自建应用。
4. 在应用详情页面，单击 Secret 右侧的查看，将 Secret 内容复制并保存。
注意：
为确保数据安全，请确认为企业内部使用，切勿将 Secret 泄漏给第三方。
﻿
步骤二：配置 iOA 私有化 控制台
1. 设置身份源
1. 登录 iOA 零信任管理平台控制台，在左侧导览中，单击管理中心 > 用户与授权管理。
2. 在用户与授权管理页面，单击新建。
3. 在新建目录页面，输入名称和描述，是否导入架构选择是，导入类型选择企业微信，单击下一步。
﻿
﻿
﻿
4. 在新增目录页面，配置相关参数。
﻿
﻿
﻿
参数名称
说明
企业 ID
获取方式请参见 获取企业 ID 和自建应用 Secret。
应用 Secret
获取方式请参见 获取企业 ID 和自建应用 Secret。
代理地址
填写方式为：http://ip:13732，具体 IP 请联系腾讯项目对接人获取。
连通性测试
输入企业 ID、企业自建应用 Secret 和代理服务器地址后可进行连通性测试，会同时检查基础配置是否有效。
组织架构更新设置
根据实际需求设置。
根部门 ID
如无必要，请勿修改。如果只需要特定部门，请输入正确的部门 ID。
是否同步标签
同步的标签数据会写入自定义分组。
用户属性字段映射
如无特殊需求，请勿修改。
其中字段如果不映射，将会用系统定义的状态，其中0表示用户异常状态，1表示用户正常状态。
映射支持三种数据类型，且必须填写正常状态的值：
1. 对于 Bool 类型和 String 类型，相同的值会关联到状态 1，不相同的统一到 0； 
2. 对于 Int 类型，相同的值会关联到状态 1，其他值会默认保留。
属性映射中，若映射字段不存在或不想同步相应字段，则输入任意不存在的属性名即可，同步时会将对应属性置为空。
5. 单击测试，测试通过后单击保存。
6. 在用户与授权管理页面，找到刚刚创建的目录，单击用户同步，同步组织架构。
﻿
7. 在用户与授权管理页面，找到刚刚创建的目录，单击目录管理，查看组织架构信息。
﻿
2. 配置认证源
1. 登录 iOA 零信任管理平台控制台，在左侧导览中，单击身份安全策略 > 认证安全 > 认证源配置。
2. 在认证源配置页面，单击新增认证源实例。
3. 在新增认证源实例页面，类型选择企业微信，并配置其他参数，单击保存。
注意：
必须点击安装连接完成企业微信的第三方应用安装（使用企微管理员账号扫码安装、如果网页已登录企微管理后台则自动添加），否则无法保存认证源。                                                                                                                              
如果您之前的企业微信后台安装过腾讯零信任 iOA 的应用，请删除原有应用，重新安装。
若已经完成了应用安装，但是认证源无法保存，提示未检测到授权结果，则稍等片刻再单击保存。
若一直报错提示无法保存，请联系腾讯项目对接人。
﻿
3. 设置认证策略
说明：
企业微信认证源需要和您导入企业微信身份源（目录）保持一致。
可以为不同身份源(目录)配置不同的认证策略，互不影响。
如果针对单个身份源(目录)添加主认证源，需要在该身份源(目录)的基础策略中增加认证源。
1. 在策略中心 > 身份安全策略 > 认证安全 > 认证策略页面，选择目标目录，单击编辑。
﻿
2. 在编辑认证策略页面，PC 端将刚刚添加的企业微信认证源作为主认证方式。
﻿
﻿
﻿
3. 单击添加，完成编辑。
﻿
﻿
﻿
﻿

iOA 私有化企业微信对接

本页目录：

实现效果

步骤一：企业微信认证准备

1. 域名验证

2. 配置企业微信自建应用

3. 设置可信域名

4. 设置企业可信 IP

5. 获取企业 ID 和自建应用 Secret

步骤二：配置 iOA 私有化控制台

1. 设置身份源

2. 配置认证源

3. 设置认证策略

类型\\操作步骤	选择组织域	选择登录方式	登录效果
浏览器
客户端

参数名称	说明
企业 ID	获取方式请参见获取企业 ID 和自建应用 Secret。
应用 Secret	获取方式请参见获取企业 ID 和自建应用 Secret。
代理地址	填写方式为：`http://ip:13732`，具体 IP 请联系腾讯项目对接人获取。
连通性测试	输入企业 ID、企业自建应用 Secret 和代理服务器地址后可进行连通性测试，会同时检查基础配置是否有效。
组织架构更新设置	根据实际需求设置。
根部门 ID	如无必要，请勿修改。如果只需要特定部门，请输入正确的部门 ID。
是否同步标签	同步的标签数据会写入自定义分组。
用户属性字段映射	如无特殊需求，请勿修改。其中字段如果不映射，将会用系统定义的状态，其中0表示用户异常状态，1表示用户正常状态。映射支持三种数据类型，且必须填写正常状态的值： 1. 对于 Bool 类型和 String 类型，相同的值会关联到状态 1，不相同的统一到 0； 2. 对于 Int 类型，相同的值会关联到状态 1，其他值会默认保留。属性映射中，若映射字段不存在或不想同步相应字段，则输入任意不存在的属性名即可，同步时会将对应属性置为空。

iOA 私有化企业微信对接

本页目录：

实现效果

步骤一：企业微信认证准备

1. 域名验证

2. 配置企业微信自建应用

3. 设置可信域名

4. 设置企业可信 IP

5. 获取企业 ID 和自建应用 Secret

步骤二：配置 iOA 私有化 控制台

1. 设置身份源

2. 配置认证源

3. 设置认证策略

步骤二：配置 iOA 私有化控制台