--- title: 第三方 SSO 登录 description: 介绍企业微信、钉钉、飞书、OA/ADFS 等第三方授权登录、组织同步和私有化部署配置要点。 slug: third-party-sso lang: zh category: 权限安全 category_order: 4 order: 3 keywords: - SSO - 企业微信 - 钉钉 - 飞书 - 组织同步 --- # 第三方 SSO 登录 巴别鸟私有化部署可接入企业微信、钉钉、飞书、OA、ADFS 等第三方身份系统,实现单点登录、扫码登录、移动端授权登录和组织结构同步。SSO 不是单一接口,而是由“第三方授权登录”和“第三方组织结构同步”两部分组成。 ## 登录与组织同步 第三方授权登录可以配置多个来源,例如同时支持企业微信扫码登录、钉钉扫码登录和 OA 账号登录。组织结构同步通常只建议选择一个权威来源,避免多个系统同时写入成员和部门造成账号冲突。多个登录来源之间应使用一致的用户唯一标识。 ## 企业微信接入 企业微信接入通常需要企业 `CorpId`、内部应用 `AgentId`、`Secret`、可信域名、网页授权回调地址、企业微信授权登录配置,以及移动端 Bundle ID、应用签名和包名等信息。 ![企业微信 CorpId](../../assets/images/sso/sso-001.jpg) *企业微信管理后台中可获取企业 CorpId,并提供给巴别鸟用于配置。* ![企业微信应用信息](../../assets/images/sso/sso-003.png) *创建企业微信内部应用后,需要获取应用 AgentId 和 Secret。* 核心配置包括: 1. 创建企业微信内部应用并获取 `CorpId`、`AgentId`、`Secret`。 2. 配置工作台应用主页,替换 OAuth 地址中的 `appid` 和私有化部署域名。 3. 在“网页授权及 JS-SDK”中配置可信域名,按要求完成域名校验。 4. 在“企业微信授权登录”中配置 Web 网页授权回调域。 5. 根据移动端需求配置 iOS Bundle ID、Android 应用签名、应用包名和 schema。 ![企业微信授权登录](../../assets/images/sso/sso-008.jpg) *企业微信授权登录需要配置网页、iOS 和 Android 相关授权信息。* ## 钉钉接入 钉钉接入通常包含 H5 微应用和扫码登录两部分。H5 微应用用于在钉钉工作台访问巴别鸟,扫码登录用于网页端授权登录。 ![钉钉创建 H5 微应用](../../assets/images/sso/sso-011.png) *在钉钉开放平台的企业内部开发中创建 H5 微应用。* 配置要点: - 管理员登录钉钉管理后台和钉钉开放平台。 - 创建企业内部 H5 微应用,应用首页地址填写巴别鸟私有化部署后的访问地址。 - 服务器出口 IP 应与部署环境一致,否则钉钉部分接口可能不可用。 - 在接口权限中开通企业通讯录相关权限,用于账号和组织结构打通。 - 获取 `CorpId`、`AppKey`、`AppSecret` 并提供给巴别鸟配置。 - 如需扫码登录,在“移动应用接入 > 登录”中创建扫码登录应用授权,获取登录 `appId` 和 `appSecret`。 ![钉钉接口权限](../../assets/images/sso/sso-015.png) *钉钉应用需要开通企业通讯录等接口权限,才能完成组织和账号打通。* ![钉钉 AppKey 与 AppSecret](../../assets/images/sso/sso-019.png) *应用详情页可查看 AppKey 和 AppSecret。* ## 飞书接入 飞书接入通常需要创建企业自建应用,获取 `APP ID` 和 `APP Secret`,配置网页入口、OAuth 重定向地址、移动端登录、安全设置、IP 白名单、H5 可信域名和通讯录权限。 ![飞书创建企业自建应用](../../assets/images/sso/sso-024.png) *飞书管理后台中创建企业自建应用,作为接入巴别鸟的身份入口。* ![飞书凭证与基础信息](../../assets/images/sso/sso-026.png) *飞书应用凭证中的 APP ID 和 APP Secret 需要提供给巴别鸟配置。* 关键步骤: 1. 创建企业自建应用并获取凭证。 2. 配置网页入口地址和 OAuth 重定向地址,替换为企业自己的巴别鸟域名。 3. 如需消息通知,开启机器人能力并配置消息权限。 4. 如需 App 授权登录,配置 iOS Bundle ID 和 Android 应用信息。 5. 在安全设置中配置重定向 URL、IP 白名单和 H5 可信域名。 6. 开通读取通讯录、部门、用户、手机号、邮箱、消息发送等所需权限。 7. 创建版本、提交审核并发布应用。 ![飞书安全设置](../../assets/images/sso/sso-030.png) *飞书安全设置需要配置重定向 URL、IP 白名单和 H5 可信域名。* ## 部署检查项 | 检查项 | 说明 | | --- | --- | | 专属域名 | 私有化部署应确认 http/https、域名和回调地址完全一致 | | 用户唯一标识 | 多登录源应使用一致的 userId、手机号、邮箱或企业工号映射策略 | | 组织同步源 | 同一企业通常只选择一个组织同步源,避免成员和部门冲突 | | 回调地址 | OAuth 回调地址必须在第三方后台和巴别鸟配置中保持一致 | | 移动端信息 | iOS Bundle ID、Android 包名和签名需与实际 App 一致 | | 权限范围 | 只申请完成登录、通讯录同步和消息通知所需的权限 | | 审计与安全 | 接入后应测试登录、离职禁用、部门变更、权限继承和日志记录 | ## 与权限体系的关系 第三方 SSO 解决“用户是谁、如何登录、组织从哪里同步”的问题;文件权限仍由巴别鸟内部的企业角色、部门角色、项目权限、文件访问控制、分享权限和安全策略决定。