飞书作为身份源

身份源
最后更新时间: 5/22/2023, 8:40:49 AM

# 概述

IDaaS支持企业以多种身份源渠道导入用户和组织机构信息至IDaaS平台,本文将为您介绍如何在IDaaS平台中配置飞书为身份源,将飞书平台统一维护组织机构和用户数据,同步至IDaaS平台,并保障企业内各应用系统的数据一致性。

# 前提条件

  • 拥有飞书开发者后台的管理员权限,若此前无账号,请先前往飞书开放平台 (opens new window)注册开发者账号。
  • 拥有IDaaS企业中心平台的管理员权限。

# 配置流程

# 飞书开放平台创建应用

  1. 登录飞书开放平台 (opens new window),进入 ”开发者后台“ ,选择 “创建应用”。

  2. 创建完成后进入新建应用的详情页,左侧选择 “凭证与基础信息” ,获取AppID和AppSecret参数。

  3. 左侧选择 “权限管理” ,配置应用权限,添加以下用户和通讯录权限,其中通讯录权限范围需配置为全部成员

  4. 左侧选择 “事件订阅” ,设置Encrypt Key、Verification Token参数值及请求地址,参数说明如下。

    在IDaaS平台添加了飞书身份源且完成导入配置后才能执行本节操作。

    参数 参数说明
    Encrypt Key 数据加密Key,需与IDaaS飞书身份源参数保持一致
    Verification Token 验证票据,需与IDaaS飞书身份源参数保持一致
    请求地址配置 数据变更通知地址,在IDaaS企业中心平台添加了飞书身份源后自动生成

  5. 配置完成后,可在本页面通过添加事件,来订阅飞书部门创建、修改、删除及员工入职、离职、信息变化等事件。

  6. 左侧选择 “应用发布 > 版本管理与发布” ,填写应用版本号、更新说明,设置可用性状态为 “所有员工” ,发布应用。

  7. 设置完成后保存,申请发布,登录您的飞书管理台 (opens new window),在 “工作台 > 应用审核” 进行审核。

# IDaaS配置飞书身份源

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “用户 > 身份源管理" ,单击 ”添加身份源“ 选择 “飞书” 身份源。

  2. 自定义设置身份源名称,参考界面提示填写APP ID、APP Secret、根部门名称等参数,设置完成后单击 ”确定“ 保存。

  3. 进入新增身份源的详情页,可查看、更新飞书身份源的 “基础配置” ,包括连接参数、同步机制及实时回调。

  4. 切换至 "高级配置"页签,建议保持默认或者根据实际需求参考填写

    参数 说明
    选择根组织 将身份源中的数据导入到该组织,默认即可
    组织匹配策略 将飞书身份源中组织导入到IDaaS的映射关系,默认即可
    创建组织 创建和更新组织默认勾选“是”即可
    删除组织 默认保留组织即可(即飞书中删除组织,IDaaS中保留组织),还支持禁用、删除组织
    用户匹配策略 将飞书身份源中用户导入到IDaaS的映射关系,默认即可
    创建用户 创建和更新用户默认勾选“是”即可
    删除用户 默认禁用用户即可(即飞书中删除用户,IDaaS中禁用用户),还支持保留、删除用户
    安全阈值调节 设置当上游身份源出现删除用户/删除组织/组织层级变动等情况时,在身份源中以上变动的最大阈值比例
    阈值 =(平台已回收数据和本次回收数据的差异值 / 已回收数据) * 100%,当上游身份源应用禁用/删除超过设定的阈值数据,平台接到指定后,将不进行禁用/删除操作。
  5. 配置完成后切换至 “对象模型” 页签选择 “映射定义” ,将 “username账号名” 的转换方式设置为 “自动转换” ,执行方式设置为 “创建” ,对应的系统用户属性设置为 “用户名” 。

    对象模型支持把飞书身份源中的用户、组织上的属性,与IDaaS中的用户、组织的属性进行映射匹配。设置之后,实现从飞书回收用户、组织属性至IDaaS的用户、组织属性。

    • 执行方式:设置属性在哪种情形下需要映射。
      • 不映射:不会同步该属性至IDaaS。
      • 创建:只有在创建的时候会同步该属性。
      • 更新:只有在更新的时候会同步该属性。
      • 创建和更新:创建和更新时同步该属性。
    • 转换方式:设置属性映射的方式。
      • 自动转换:身份源中什么值,就同步什么值。
      • 脚本转换:身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法
  6. 配置完成后单击 ”执行同步“ 立即执行同步操作。

    如果基础配置中的同步机制设置为定时同步,则此处无需通过手动执行同步任务。

  7. 执行完成后切换至 "同步事件" 页面,可查看该身份源的所有同步任务,单击同步任务 “操作” 列下的 “详情” 查看导入结果,或者在 “用户 > 用户与组织” 页面查看导入的数据。

  8. 可选)导入同步执行完成后切换至 “回调事件” 页签,在 “基础配置” 中开启了回调注册后,可在本页面查看飞书通讯录数据变动实时更新推送IDaaS的记录。