北森HR系统作为身份源

概述

IDaaS支持企业以多种身份源渠道导入用户和组织机构信息至IDaaS平台，本文将为您介绍如何在IDaaS平台中配置北森HR系统身份源，实现组织机构和用户数据的同步。

前提条件

• 拥有北森开放平台的管理员权限。
• 拥有IDaaS企业中心平台的管理员权限。

配置流程

操作步骤

北森开发平台创建连接器

1. 登录北森开放平台 (opens new window)，进入管理者后台，选择 “我的连接器 > 创建连接器” ，填写连接器名称及描述，设置完成后单击 “确定” 。

   

2. 单击进入新建的连接器详情页面，添加连接器接口权限。

   • 用户：根据修改时间窗分页查询变动的员工相关信息
     • 接口url: openapi.italent.cn/TenantBasePublicApiV2/v2/employee/timewindow/search (opens new window)
   • 组织：查询指定组织的下级组织单元列表
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Organization/GetSubOrganizations (opens new window)
   • 职位：根据时间窗滚动查询变动的职位信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Position/GetByTimeWindow (opens new window)
   • 职务：根据时间窗滚动查询变动的职务信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/JobPost/GetByTimeWindow (opens new window)

3. 配置完成后获取并保存Key和Secret。

   

IDaaS配置北森身份源

1. 登录IDaaS企业中心平台，在上方导航栏选择 “用户 > 身份源管理" ，单击 ”添加身份源“ 选择 “北森HR” 身份源。

   

2. 自定义设置身份源名称，参考界面提示填写Key、Secret、北森HR根部门ID等参数，设置完成后单击 ”确定“ 保存。

3. 进入新增身份源的详情页，可查看、更新北森HR身份源的 “基础配置” ，包括连接参数及同步机制。

   

4. 切换至 "高级配置"页签，建议保持默认或者根据实际需求参考填写 。

   

   参数	说明
   选择根组织	将身份源中的数据导入到该组织，默认即可
   组织匹配策略	将北森身份源中组织导入到IDaaS的映射关系，默认即可
   创建组织	创建和更新组织默认勾选“是”即可
   删除组织	默认保留组织即可（即北森HR中删除组织，IDaaS中保留组织），还支持禁用、删除组织
   用户匹配策略	将北森身份源中用户导入到IDaaS的映射关系，默认即可
   创建用户	创建和更新用户默认勾选“是”即可
   删除用户	默认禁用用户即可（即北森HR中删除用户，IDaaS中禁用用户），还支持保留、删除用户
   安全阈值调节	设置当上游身份源出现删除用户/删除组织/组织层级变动等情况时，在身份源中以上变动的最大阈值比例 阈值 =（平台已回收数据和本次回收数据的差异值 / 已回收数据） * 100%，当上游身份源应用禁用/删除超过设定的阈值数据，平台接到指定后，将不进行禁用/删除操作。

5. 配置完成后切换至 “对象模型” 页签选择 “映射定义” ，根据项目实际需求为北森HR系统中组织、用户的属性和IDaaS中组织与用户的属性配置映射关系。

   对象模型支持把北森HR身份源中的用户、组织上的属性，与IDaaS中的用户、组织的属性进行映射匹配。设置之后，实现从北森HR回收用户、组织属性至IDaaS的用户、组织属性。

   

   • 执行方式：设置属性在哪种情形下需要映射。
     • 不映射：不会同步该属性至IDaaS。
     • 创建：只有在创建的时候会同步该属性。
     • 更新：只有在更新的时候会同步该属性。
     • 创建和更新：创建和更新时同步该属性。
   • 转换方式：设置属性映射的方式。
     • 自动转换：身份源中什么值，就同步什么值。
     • 脚本转换：身份源中的值不满足需要的格式可通过此方式来转换，可参考脚本映射方法。

6. 配置完成后单击 ”执行同步“ 立即执行同步操作。

   如果基础配置中的同步机制设置为定时同步，则此处无需通过手动执行同步任务。

7. 执行完成后切换至 "同步事件" 页面，可查看该身份源的所有同步任务，单击同步任务 “操作” 列下的 “详情” 查看导入结果，或者在 “用户 > 用户与组织” 页面查看导入的数据。

8. 如果需要实时回收北森的用户数据，请按如下步骤完成配置：
   （1）在北森身份源内开启基础配置中的实时回调。 （2）开启实时回调后，复制页面上的回调地址，给予北森管理员进行北森侧weHook连接方式的配置。（注：该地址目前需要找北森的客服进行配置，并且只会在每周五的晚上八点进行该地址的配置），然后向北森工作人员获取签名token和加密EncodingAESKey配置，配置到北森身份源中。 （3）在北森开放相关接口权限

   • 用户：根据员工UserID集合获取未删除的员工相关信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Employee/GetBasicInfoByIds (opens new window)
   • 用户：根据员工UserID集合获取指定条件的任职记录相关信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Employee/GetServiceInfoByIds (opens new window)
   • 组织：根据组织OId集合获取组织相关信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Organization/GetByIds (opens new window)
   • 职位：根据职位OId集合获取的职位相关信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/Position/GetByOIds (opens new window)
   • 职务：通过职务OID获取职务信息
     • 接口url: openapi.italent.cn/TenantBaseExternal/api/v5/JobPost/GetByOIds (opens new window)

IDaaS北森身份源回收任职数据

1. 开启系统侧任职管理，具体操作见管理用户任职信息

2. 在北森身份源对象模型内开启任职信息回收。

   • 开启后会新增职位，职务，任职关系的对象模型默认数据。
     • 开启后不支持关闭。
     • 职位，职务的对象模型不支持自定义，默认回收北森的名称和编码。
     • 任职关系对象模型支持自定义，可按需求配置需要回收的相关数据。

   

   

   • 再次回收数据，会将上游北森的职位，职务和用户的任职信息数据回收到IDaaS平台，可在回收详情中查看回收的数据内容。