飞书单点登录和数据同步配置

单点登录SSO身份同步
Last Updated: 12/20/2022, 5:01:57 PM

# 说明

本文介绍飞书与IDaaS的认证配置和同步配置,实现IDaaS单点登录腾讯企业邮箱和IDaaS组织与用户数据同步至飞书。 飞书支持超级管理员配置基于 SAML 2.0 协议的 SSO 登录,即通过第三方认证中心单点登录至飞书系统。 适用版本:旗舰版。

配置参考飞书管理员如何配置单点登录 (opens new window)

# 认证配置

# IDaaS配置

  • 1.登录IDaaS企业中心,添加飞书旗舰版预集成应用。

  • 2.配置认证参数。
参数 说明
SP Entity ID: https://www.feishu.cn
断言消费地址(ACS URL): https://www.feishu.cn/suite/passport/authentication/idp/saml/call_back
NameID 应用账号
NameID Format 默认
Audience URl https://www.feishu.cn
Single Logout URL 不填
Relay State 不填
Response签名
断言签名
数字签名算法 默认
数字摘要算法 默认
断言加密
验证请求签名

进入应用详情-认证配置-映射配置,添加一个email映射。

  • 3.用户授权

账号名设置为飞书内用户的手机号或邮箱。

  • 4.查看IDP配置 【设置】-【服务配置】-【IDP配置】

下面配置飞书SSO账号登录会用到IDP配置参数。

# 飞书配置

  • 1.管理员登录飞书管理后台【企业设置】-【SSO账号登录】

  • 2.编辑并启用SSO

  • SAML 2.0 Endpoint:IDP配置的SSO URL
  • Identity Provide Issuer:IDP配置的IDP EntityId
  • Public Certificate:IDP 证书(去掉首尾的-----BEGIN CERTIFICATE----- 和-----END CERTIFICATE-----)

# 登录

电脑端和移动端皆可登录

  • 1.打开飞书,点击“ SSO 登录”,输入飞书企业域名(【飞书管理后台】-【企业设置】-【企业信息】查看)。

  • 2.跳转至IDaaS登录界面,输入授权账号登录信息,进入飞书。

# 同步配置

# 飞书配置

  • 1.登录飞书开放平台--》开发者后台。

  • 2.创建企业自建应用。

  • 3.获取应用APP ID和APP Secret。

  • 4.申请接口权限。

# 飞书配置扩展属性

  • 1.登录 飞书管理后台 (opens new window)。进入组织架构->成员字段管理。

  • 2.点击全局设置。

  • 3.在弹出窗体中,开启 允许开放平台通讯录API调用,并点击确定。

  • 4.点击新增字段。

  • 5.在弹出窗体中,输入中文字段名、英文字段名,并选择字段类型为文本,点击确定。
    注: 中文字段名对应IDaaS应用账号模型属性的显示标签,英文字段名可不填。 当前IDaaS只支持文本类型的扩展字段。

  • 6.此时,在页面可以看到刚刚创建的扩展属性。

# IDaaS配置

  • 1.登录IDaaS企业中心。

  • 2.添加预集成应用飞书身份同步。

  • 3.配置应用参数。

    • 应用id:APP ID
    • 应用密钥 :APP Secret

  • 4.授权应用机构。

进入应用详情-应用机构-授权策略。

开启机构自动授权,选择机构范围,点击保存按钮,然后点击执行新增。

  • 5.授权应用账号。

进入应用详情-应用账号构-授权策略。

开启机构自动授权,选择用户范围,点击保存按钮,然后点击执行新增。

  • 6.查看同步事件。

进入应用详情-同步事件

# 查看同步结果

登录飞书管理后台。

进入通讯录,查看同步的组织机构和用户。

# IDaaS配置扩展属性

  • 1.登录IDaaS企业中心后。进入飞书应用首页->点击同步集成->配置。

  • 2.进入飞书同步配置页面后,点击保存且保存成功。

  • 3.点击对象模型->应用账号模型->右侧添加。

  • 4.在右侧弹出窗体中,可在属性名下拉框中查看到在飞书配置的扩展属性
    注:这里的扩展属性名格式为固定前缀"CUST-"+飞书平台扩展属性对应的内部ID。

  • 5.选择这个扩展属性,可以看到扩展属性的详细信息,并点击保存。

  • 6.此时,在属性定义页面的尾端,可以看到刚刚保存的扩展属性。如需和系统用户的属性建立映射关系,请在映射定义配置。