第三方 SSO 登录
巴别鸟私有化部署可接入企业微信、钉钉、飞书、OA、ADFS 等第三方身份系统,实现单点登录、扫码登录、移动端授权登录和组织结构同步。SSO 不是单一接口,而是由“第三方授权登录”和“第三方组织结构同步”两部分组成。
登录与组织同步
第三方授权登录可以配置多个来源,例如同时支持企业微信扫码登录、钉钉扫码登录和 OA 账号登录。组织结构同步通常只建议选择一个权威来源,避免多个系统同时写入成员和部门造成账号冲突。多个登录来源之间应使用一致的用户唯一标识。
企业微信接入
企业微信接入通常需要企业 CorpId、内部应用 AgentId、Secret、可信域名、网页授权回调地址、企业微信授权登录配置,以及移动端 Bundle ID、应用签名和包名等信息。
核心配置包括:
- 创建企业微信内部应用并获取
CorpId、AgentId、Secret。 - 配置工作台应用主页,替换 OAuth 地址中的
appid和私有化部署域名。 - 在“网页授权及 JS-SDK”中配置可信域名,按要求完成域名校验。
- 在“企业微信授权登录”中配置 Web 网页授权回调域。
- 根据移动端需求配置 iOS Bundle ID、Android 应用签名、应用包名和 schema。
钉钉接入
钉钉接入通常包含 H5 微应用和扫码登录两部分。H5 微应用用于在钉钉工作台访问巴别鸟,扫码登录用于网页端授权登录。
配置要点:
- 管理员登录钉钉管理后台和钉钉开放平台。
- 创建企业内部 H5 微应用,应用首页地址填写巴别鸟私有化部署后的访问地址。
- 服务器出口 IP 应与部署环境一致,否则钉钉部分接口可能不可用。
- 在接口权限中开通企业通讯录相关权限,用于账号和组织结构打通。
- 获取
CorpId、AppKey、AppSecret并提供给巴别鸟配置。 - 如需扫码登录,在“移动应用接入 > 登录”中创建扫码登录应用授权,获取登录
appId和appSecret。
飞书接入
飞书接入通常需要创建企业自建应用,获取 APP ID 和 APP Secret,配置网页入口、OAuth 重定向地址、移动端登录、安全设置、IP 白名单、H5 可信域名和通讯录权限。
关键步骤:
- 创建企业自建应用并获取凭证。
- 配置网页入口地址和 OAuth 重定向地址,替换为企业自己的巴别鸟域名。
- 如需消息通知,开启机器人能力并配置消息权限。
- 如需 App 授权登录,配置 iOS Bundle ID 和 Android 应用信息。
- 在安全设置中配置重定向 URL、IP 白名单和 H5 可信域名。
- 开通读取通讯录、部门、用户、手机号、邮箱、消息发送等所需权限。
- 创建版本、提交审核并发布应用。
部署检查项
| 检查项 | 说明 |
|---|---|
| 专属域名 | 私有化部署应确认 http/https、域名和回调地址完全一致 |
| 用户唯一标识 | 多登录源应使用一致的 userId、手机号、邮箱或企业工号映射策略 |
| 组织同步源 | 同一企业通常只选择一个组织同步源,避免成员和部门冲突 |
| 回调地址 | OAuth 回调地址必须在第三方后台和巴别鸟配置中保持一致 |
| 移动端信息 | iOS Bundle ID、Android 包名和签名需与实际 App 一致 |
| 权限范围 | 只申请完成登录、通讯录同步和消息通知所需的权限 |
| 审计与安全 | 接入后应测试登录、离职禁用、部门变更、权限继承和日志记录 |
与权限体系的关系
第三方 SSO 解决“用户是谁、如何登录、组织从哪里同步”的问题;文件权限仍由巴别鸟内部的企业角色、部门角色、项目权限、文件访问控制、分享权限和安全策略决定。