飞书单点登录和数据同步配置
# 说明
本文介绍飞书与IDaaS的认证配置和同步配置,实现IDaaS单点登录腾讯企业邮箱和IDaaS组织与用户数据同步至飞书。 飞书支持超级管理员配置基于 SAML 2.0 协议的 SSO 登录,即通过第三方认证中心单点登录至飞书系统。 适用版本:旗舰版。
配置参考飞书管理员如何配置单点登录 (opens new window)
# 认证配置
# IDaaS配置
- 1.登录IDaaS企业中心,添加飞书旗舰版预集成应用。
- 2.配置认证参数。
| 参数 | 说明 |
|---|---|
| SP Entity ID: | https://www.feishu.cn |
| 断言消费地址(ACS URL): | https://www.feishu.cn/suite/passport/authentication/idp/saml/call_back |
| NameID | 应用账号 |
| NameID Format | 默认 |
| Audience URl | https://www.feishu.cn |
| Single Logout URL | 不填 |
| Relay State | 不填 |
| Response签名 | 是 |
| 断言签名 | 是 |
| 数字签名算法 | 默认 |
| 数字摘要算法 | 默认 |
| 断言加密 | 否 |
| 验证请求签名 | 否 |
进入应用详情-认证配置-映射配置,添加一个email映射。
- 3.用户授权
账号名设置为飞书内用户的手机号或邮箱。
- 4.查看IDP配置 【设置】-【服务配置】-【IDP配置】
下面配置飞书SSO账号登录会用到IDP配置参数。
# 飞书配置
- 1.管理员登录飞书管理后台【企业设置】-【SSO账号登录】
- 2.编辑并启用SSO
- SAML 2.0 Endpoint:IDP配置的SSO URL
- Identity Provide Issuer:IDP配置的IDP EntityId
- Public Certificate:IDP 证书(去掉首尾的-----BEGIN CERTIFICATE----- 和-----END CERTIFICATE-----)
# 登录
电脑端和移动端皆可登录
- 1.打开飞书,点击“ SSO 登录”,输入飞书企业域名(【飞书管理后台】-【企业设置】-【企业信息】查看)。
- 2.跳转至IDaaS登录界面,输入授权账号登录信息,进入飞书。
# 同步配置
# 飞书配置
- 1.登录飞书开放平台--》开发者后台。
- 2.创建企业自建应用。
- 3.获取应用APP ID和APP Secret。
- 4.申请接口权限。
# 飞书配置扩展属性
1.登录 飞书管理后台 (opens new window)。进入组织架构->成员字段管理。
2.点击全局设置。
3.在弹出窗体中,开启 允许开放平台通讯录API调用,并点击确定。
4.点击新增字段。
5.在弹出窗体中,输入中文字段名、英文字段名,并选择字段类型为文本,点击确定。
注: 中文字段名对应IDaaS应用账号模型属性的显示标签,英文字段名可不填。 当前IDaaS只支持文本类型的扩展字段。
6.此时,在页面可以看到刚刚创建的扩展属性。
# IDaaS配置
- 1.登录IDaaS企业中心。
- 2.添加预集成应用飞书身份同步。
3.配置应用参数。
- 应用id:APP ID
- 应用密钥 :APP Secret
- 4.授权应用机构。
进入应用详情-应用机构-授权策略。
开启机构自动授权,选择机构范围,点击保存按钮,然后点击执行新增。
- 5.授权应用账号。
进入应用详情-应用账号构-授权策略。
开启机构自动授权,选择用户范围,点击保存按钮,然后点击执行新增。
- 6.查看同步事件。
进入应用详情-同步事件
# 查看同步结果
登录飞书管理后台。
进入通讯录,查看同步的组织机构和用户。
# IDaaS配置扩展属性
1.登录IDaaS企业中心后。进入飞书应用首页->点击同步集成->配置。
2.进入飞书同步配置页面后,点击保存且保存成功。
3.点击对象模型->应用账号模型->右侧添加。
4.在右侧弹出窗体中,可在属性名下拉框中查看到在飞书配置的扩展属性
注:这里的扩展属性名格式为固定前缀"CUST-"+飞书平台扩展属性对应的内部ID。
5.选择这个扩展属性,可以看到扩展属性的详细信息,并点击保存。
6.此时,在属性定义页面的尾端,可以看到刚刚保存的扩展属性。如需和系统用户的属性建立映射关系,请在映射定义配置。
