身份源:您导入组织架构的企业微信会和使用的 iOA 产品进行绑定,您可以给已导入的企业微信身份源创建多个身份目录进行同步。
认证源:您创建的企业微信认证源需要和您导入企业微信身份源保持一致。相同企业微信的认证源可以创建多个,不受此影响。
1. 实现效果
类型\\操作步骤 | 选择组织域 | 选择登录方式 | 登录效果 |
浏览器登录效果 |  |  |  |
客户端 |  |  |  |
2. 企业微信认证准备
2.1 资源准备
由于企业微信需要通过受信域名才能进行对接,所以需要您提前准备:
步骤1:申请一个域名。
步骤2:域名备案。
步骤3:申请或上传域名的SSL证书。
步骤4:准备部署连接器的服务器(建议配置:Centos7.6 CPU:2-4核,内存4-8G,硬盘100G以上)。
2.2 配置企业微信自建应用
2.2.1 新建自建应用
1. 登录 企业微信管理后台,单击上方的应用管理,默认进入应用页面。
2. 在应用页面,单击自建 > 创建应用。
3. 在创建应用页面,配置相关参数,单击创建应用。
注意:
可见范围务必包含需要同步的组织范围,否则无法同步组织;建议设置为根目录。
2.2.2 设置可信域名
1. 登录 企业微信管理后台,单击上方的应用管理,在应用页面,单击刚刚创建的自建应用。
2. 在应用详情页面,选择网页授权及JS-SDK,单击设置可信域名。
3. 在设置可信域名窗口中,单击申请校验域名。
4. 在设置可信域名窗口中,单击下载文件。
5. 可先关闭页面,待iOA SaaS 控制台配置完成后再输入可信域名,单击确定,完成可信域名校验。
说明:
2.2.3 设置企业可信 IP
1. 在应用页面,单击刚刚创建的自建应用。
2. 在应用详情页面,选择开发者接口,单击企业可信 IP 中的配置。
3. 在企业可信 IP 窗口中,输入 IP 地址,单击确定。
说明:
2.2.4 设置企业微信授权回调域
1. 在应用页面,单击刚刚创建的自建应用。
2. 在应用详情页面,选择开发者接口,选择企业微信授权登录。
3. 单击设置授权回调域,填写web网页授权回调域:
scs.gateway.tencent.com 。
2.3 获取企业 ID 、自建应用 AgentId 和 Secret
2.3.1 获取企业 ID
1. 登录 企业微信管理后台,单击上方的我的企业,默认进入企业信息页面。
2. 在企业信息页面的最下方,获取企业 ID。
2.3.2 获取自建应用 AgentId 和 Secret
1. 登录 企业微信管理后台,单击应用管理,并选中刚刚创建好的自建应用。
2. 在应用详情页面,查看AgentId,单击 Secret 右侧的查看,将 Secret 内容复制并保存。
注意:
为确保数据安全,请确认为企业内部使用,切勿将 Secret 泄漏给第三方。
2.3.3 获取自建应用 Schema
1. 登录 企业微信管理后台,单击应用管理,并选中刚刚创建好的自建应用。
2. 在应用详情页面,进入“企业微信授权登录”,Schema 参数是企微平台自动生成的,直接获取即可,将 Schema 内容复制并保存。
3. 填写企业微信授权登录信息。
Web 网页:设置授权回调域
scs.gateway.tencent.com。iOS:设置 Bundle ID
com.tencent.ioa.saas。Android:设置应用签名
9e4e6594cd64562c6ae8e3ae0288dd5a , 应用包名com.tencent.ioa.saas。
3. iOA SaaS 控制台配置
3.1 连接器部署
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管理中心 > 专线管理。
2. 在专线管理页面,单击
3. 编辑专线组名称:示例:企业微信对接,单击确定。
4. 新建专线,下载连接器完成部署。
说明:
部署完成后该专线分组下不建议再添加专线,如需添加,应将新加连接器出口 IP 添加至企业微信自建应用的可信IP处。
3.2 认证源配置
1. 登录 iOA 零信任管理平台控制台,在左侧导览中,单击身份安全策略 > 认证安全 > 认证源配置。
2. 在认证源配置页面,单击新增认证源实例。
参数名称 | 说明 |
类型 | 企业微信。 |
名称 | 自定义。 |
客户端登录标题 | 自定义。 |
客户端登录标题(英文) | 自定义。 |
客户端登录提示 | 自定义。 |
客户端登录提示(英文) | 自定义。 |
企业 ID | |
应用 Secret | |
Agentld | |
Schema | |
专线分组 | |
自定义域名 | 选择 “新增自定义域名 ”,参数请参看下文填写说明。 |
新增自定义域名填写说明:
参数名称 | 说明 |
域名 | 填写准备的域名。 |
SSL证书 | 选择该域名的SSL证书。 |
资源分组 | 建议一个资源分组并选择该分组。 |
专线分组 | |
校验文件 |
说明:
特别说明:新增自定义域名后会在所选择的资源分组下自动生成两个web资源,该资源禁止修改,建议新建一个资源分组存放。
3. 将下方生成的信息保留,并单击保存。
将自定义域名修改cname解析指向‘自定义域名指向’的域名。
待解析生效后,返回2.2 配置企业微信自建应用,将‘授权回调域’、‘可信域名’、‘可信IP’填写到企微自建应用处。
4. 登录 企业微信管理后台。
授权回调域填写至:2.2.4 设置企业微信授权回调域。
可信域名填写至:2.2.2 设置可信域名。
可信 IP 填写至:2.2.3 设置企业可信 IP。
3.3 身份源配置
1. 登录 iOA 零信任管理平台控制台,在左侧导览中,单击管理中心 > 用户与授权管理。
2. 在用户与授权管理页面,单击新建。
3. 在新建目录页面,输入名称和描述,是否导入架构选择是,导入类型选择企业微信,单击下一步。
4. 在新增目录页面,配置相关参数。
注意:
请确认已经准备好了企业自建应用,连接器已部署完毕,具体操作:
输入企业ID、企业自建应用 Secret 和选择专线分组后可进行连通性测试,会同时检查基础配置是否有效(企业 ID、应用 Secret 详细请参见:2.3 获取企业 ID 、自建应用AgentId和 Secret)。
如需自定义根部门,请输入对应的根部门ID,并确保应用的可见范围包含了自定义根部门,否则会造成同步失败。
状态字段如果不映射,将会用系统定义的状态,其中 0 表示用户异常状态, 1 表示用户正常状态。 映射支持三种数据类型,且必须填写【正常状态的值】
① 对于 Bool 类型和 String 类型,相同的值会关联到状态 1,不相同的统一到 0;
② 对于 Int 类型,相同的值会关联到状态 1,其他值会默认保留。
属性映射中,若映射字段不存在或不想同步相应字段,则输入任意不存在的属性名即可,同步时会将对应属性置为空。
相同企业微信的认证源可以创建多个。
参数名称 | 说明 |
类型 | 企业微信 |
企业 ID | |
应用 Secret | |
专线分组 | |
连通性测试 | 输入企业 ID、应用 Secret 、专线分组后可进行连通性测试,会同时检查基础配置是否有效。 |
组织架构更新设置 | 根据实际需求设置。 |
根部门 ID | 如无必要,请勿修改。如果只需要特定部门,请输入正确的部门 ID。 |
是否同步标签 | 同步的标签数据会写入自定义分组 |
用户属性字段映射 | 如无特殊需求,请勿修改。 其中字段如果不映射,将会用系统定义的状态,其中0 表示用户异常状态,1 表示用户正常状态。 映射支持三种数据类型,且必须填写正常状态的值: 1. 对于 Bool 类型和 String 类型,相同的值会关联到状态 1,不相同的统一到 0; 2. 对于 Int 类型,相同的值会关联到状态 1,其他值会默认保留。 属性映射中,若映射字段不存在或不想同步相应字段,则输入任意不存在的属性名即可,同步时会将对应属性置为空。 |
可信IP |
5. 配置完成后单击保存。
6. 在用户与授权管理页面,找到刚刚创建的目录,单击用户同步,同步组织架构。
7. 在用户与授权管理页面,找到刚刚创建的目录,单击目录管理,查看组织架构信息。
3.4 认证策略配置
说明:
企业微信认证源需要和您导入企业微信身份源(目录)保持一致。
可以为不同身份源(目录)配置不同的认证策略,互不影响。
如果针对单个身份源(目录)添加主认证源,需要在该身份源(目录)的基础策略中增加认证源。
1. 在认证安全 > 认证策略页面,选择目标目录,单击编辑。
2. 在编辑认证策略页面,PC 端将刚刚添加的企业微信认证源作为主认证方式。
3. 单击添加,完成编辑。
