Azure AD 组织架构导入与第三方登录配置教程

飞连支持企业将第三方平台的组织架构信息导入飞连，并支持配置第三方登录飞连。本文主要介绍如何在飞连管理后台导入 Azure AD 组织架构，以及如何配置 Azure AD 第三方登录飞连。

• 在飞连管理后台导入 Azure AD 组织架构。具体操作，请参见导入 Azure AD 组织架构。
• 在飞连管理后台授权 Azure AD 第三方登录。具体操作，请参见配置 Azure AD 第三方登录飞连。

步骤一：在 Azure AD 创建应用

在飞连内导入 Azure AD 的组织架构，或者授权 Azure AD 第三方登录飞连前，您需要先在 Microsoft Azure portal 注册一个应用并完成应用配置。具体操作说明如下：

1. 在 Microsoft 门户创建一个 Azure 账号。
   创建新的 Azure AD 租户时，您将成为该租户的第一个用户。作为第一个用户，会自动分配到全局管理员角色。您可以通过导航到用户页面查看用户信息。
   默认情况下，您还被列为租户的技术联系人。您可以在 Properties 中更改技术联系信息。关于全局管理员、技术联系人的更多信息，请参见 Global Administrator、What do these fields mean。
   1. 登录 Azure 门户。
   2. 在 Azure 门户菜单的 Manage Azure Active Directory 卡片内，单击 View。
      
   3. 在 Azure Active Directory 页面，单击 Manage tenants。
      
   4. 单击 Create。
      设置租户名、域名（确保可用）、租户类型为 Azure Active Directory。
      示例配置如下图所示：
      
   5. 在 Basics 页签，选择要创建的租户类型，Azure Active Directory 或 Azure Active Directory (B2C)。
   6. 单击下一步到 Configuration 页签，并填写以下信息。
      • 在 Organization name 中填写 Contoso 组织。
      • 在 Initial domain name 中填写 Contosoorg。
      • 在 Country/Region 中选择美国。
        
   7. 单击下一步查看已填写的配置信息，无问题后完成创建。
2. 在 Microsoft 表示平台注册一个应用。
   若要将身份和访问管理功能委派给 Azure AD，必须向 Azure AD 租户注册应用程序。当您向 Azure AD 注册应用程序时，会创建一个标识配置，以允许它与 Azure AD 集成。在 Azure 门户中注册应用程序时，您可以选择它是单租户（仅在您的租户中可访问）还是多租户（可在其他租户中访问），并且可以选择设置重定向 URI（访问令牌发送到的位置）。
   完成应用程序注册后，会获取一个全局唯一的应用程序实例（应用程序对象），该实例位于您的主租户或目录中。该应用拥有全局唯一 ID（应用程序或客户端 ID），然后在 Azure 门户中添加机密或证书获取应用 Secret。
   1. 登录 Azure 门户。
   2. （可选）在顶部菜单栏，切换到需要注册应用程序的租户。
      如果您有权限访问多个租户，则可能需要先进行切换至目标租户的操作。
   3. 搜索并选择 Azure Active Directory 管理，在 App registrations 页面选择 Add > App registration。
      
   4. 输入应用程序的名称。
      • 使用应用程序的用户可能会看到显示的应用名称。
      • 注册应用程序自动生成的应用程序（客户端）ID 是应用程序的唯一标识。
   5. 设置 API 访问权限。

      注意

      此处必须开启相应的 API 权限，否则飞连内导入 Azure AD 组织架构或者授权第三方登录时将无法正常连通。

      1. 单击应用进入应用详情页，在左侧导航栏单击 API permissions。

      2. 单击 Add a permission，并单击 Microsoft Graph。
         

      3. 在 Delegated permissions 中添加委派相关权限，在 Application permissions 中添加应用相关权限。
         
         需要开启的具体权限说明：

         权限类	具体权限
         委派权限（Delegated Permissions）	Directory.AccessAsUser.All Directory.ReadWrite.All Group.ReadWrite.All User.Read User.ReadBasic.All
         应用相关权限	Directory.ReadWrite.All Group.ReadWrite.All

         权限开启示例如下图所示：
         

   6. 在 Redirect URI(optional) 中配置飞连门户域名。
      飞连门户域名地址格式：https://<飞连门户域名>:<端口>/api/tpslogin/callback/aad。
      
   7. 单击注册，完成初始应用的注册。
      注册完成后，Azure 门户会显示应用注册的概览窗格。您可以看到 Application (client) ID，也称为客户端 ID，此值在 Microsoft 标识平台中唯一标识您的应用程序，请保存该值，后续在飞连管理后台配置时需要使用。
      
      Supported account types 配置项说明：
      该配置项是指支持的账号类型，根据您的实际情况选择合适的类型，如果希望其他组织的账号也能够使用该应用，请选择 Any Azure AD directory - Multitenant，如果您只希望自己组织的成员使用该应用，请选择 Single tenant。
      
      如果选择 Single tenant，当其他组织的用户尝试使用 Azure AD 登录时，会提示类似以下的错误。
      
3. 创建一个 Client Secret。

   说明

   官方文档，请参见 Configure a client application to access a web API。

   1. 进入应用详情 > Certificates & secrets 页面，单击 + New client secret。
   2. 选择密钥的过期时间或指定自定义生命周期。
      • 客户端密钥有效期限制为两年（24 个月）或更短。您不能指定超过 24 个月的自定义生命周期。
      • Microsoft 建议您将到期值设置为小于 12 个月。
   3. 记录 Value 值。
      Value 值用于后续在飞连内配置 Azure AD 的组织架构导入与第三方登录时，配置应用 Secret 值。

      注意

      该值在离开此页面后再次进入取值将不再显示。

      
   4. 选择 secret 过期时间。
      
      选择后您可以看到生成的密码，请保存该值。
      

步骤二：在飞连管理后台进行数据同步

1. 登录飞连管理后台。

2. 在左侧导航栏，选择账号配置。

3. 在账号配置页面的数据源同步页签，单击添加数据源。
   

4. 在选择数据源对话框，单击 Azure AD，并单击创建。

5. 在导入配置页面的数据源区域，将已保存的Azure AD应用凭证配置在用户池 ID、用户池 Secret、用户池地址字段，并单击下一步。
   填写字段值后，单击第三方权限探测区域的开始检测，以帮助您有效检查是否已配置好第三方平台的权限，避免在配置完成后无法正常使用导入功能。

6. 在数据对象区域，完成以下配置，并单击下一步。

   1. 在选择部门与成员区域，选择同步对象。
      被选择的同步对象会被导入飞连管理后台。
   2. 在同步字段映射区域，设置第三方与飞连的字段映射关系。
      同步字段映射用于企业将第三方的成员信息中的字段映射到飞连内，其中，手机号和邮箱用于匹配用户唯一账号关系，暂不支持删除有关手机号或邮箱的字段映射关系。
      在同步字段映射区域，单击编辑，可手动调整字段映射关系，左侧第三方字段是指第三方平台内设置的用户字段。右侧飞连字段是指第三方平台映射到飞连的用户字段。字段配置说明如下：
      • 在飞连字段列，第三方 ID（用户 ID）、手机号（手机号码）、邮箱（员工邮箱）字段不允许修改与删除，用于匹配用户唯一账号关系。
      • 如果飞连默认提供的字段不能满足映射需求，可单击添加映射，手动添加字段映射关系。
        
        添加映射时，除了选择飞连提供的默认字段，还支持手动添加扩展字段。
        • 第三方字段中添加扩展字段方式如下图所示。
          
        • 飞连字段中添加扩展字段方式如下图所示，扩展字段填写说明如下：
          
          • 字段 Key：定义字段唯一值。
          • 字段名称：字段的显示名称。
          • 字段描述：字段的说明。
          • 字段类型：可选字符串、数字、布尔值、表达式、枚举值。
          • 高级配置：可选必填、唯一、编辑。
            在第三方字段和飞连字段列名右侧，单击设置图标，可以统一管理扩展字段（包括添加、编辑、删除操作）。
            

7. 在导入模式区域，选择导入模式，并单击完成配置。
   当 Azure AD 数据发生变更时，飞连为您提供了以下同步数据的方式可选，包括手动导入、自动导入。

   说明

   实时同步的方式仅支持飞书、钉钉、企业微信。

   同步方式	说明	策略
   手动导入	在配置好数据源后，由人工主动触发数据同步操作。适用于企业管理员配置完成后，当下不想立即执行同步任务，待调试准备完成后，再进行手动同步的工作。	手动全量同步
   自动导入	指定时间同步第三方数据源。适用于企业需要在固定时间完成数据同步的场景。	定时全量同步

   • 手动导入：选择手动导入，后续在数据接入列表中，手动开始导入组织架构数据。
   • 自动导入：选择自动导入，并选择导入模式，支持设置每隔多少分钟或小时，或者设置每天固定时间点导入组织架构。

8. 在数据源同步页签的列表中，找到已添加的数据源配置，打开生效开关。
   打开生效开关后，该数据同步配置才正式生效，后续按照设置的同步方式进行数据同步。

   说明

   如果同步方式设置的手动导入，则打开生效开关后，可根据实际需要手动单击开始同步。

   此外，单击 AzureAD数据同步，支持查看以下信息：

   • 同步配置页签：查看基础信息、同步机制、同步策略信息。

   • 同步任务页签：查看历史同步记录。您可以通过以下三个筛选条件，筛选出目标同步任务。

   • 在同步数据详细信息的操作列，单击详情，可查看该信息上游同步至飞连数据源的信息对比。对比同步前后的信息内容，可帮助您进行日志审计或排查用户数据问题。

     筛选条件	说明
     变更动作	可选全部、创建、更新以及删除： 全部：包含所有变更动作的同步任务。 创建：代表创建了新的同步任务。 更新：代表更新了已有同步任务。 删除：代表上游数据源删除数据时，并同步飞连。
     同步状态	可选全部、成功、失败以及忽略： 全部：包含所有同步状态的同步任务。 成功：代表同步成功的同步任务。 失败：代表同步失败的同步任务。 忽略：代表由于各种原因不入库的情况，例如全量同步任务发现已有实时任务将新数据入库时，飞连选择忽略这些数据，不将其入库。
     搜索部门/员工	通过同步数据包含的部门或员工名称筛选。

1. 登录飞连管理后台。

2. 在左侧导航栏，选择账号配置。

3. 在认证源管理页签下，单击 +添加认证源。

4. 在选择认证源对话框中，单击 Azure AD 卡片。

   说明

   根据 Azure AD 账号实际情况，选择国际版或国内版。您可以登录 Azure AD 账号，根据 Azure 门户域名信息判断当前的版本。相关资料请参见 National clouds。

   • 国际版域名信息：portal.azure.com
   • 国内版域名信息：portal.azure.cn

5. 参考界面提示配置参数，关键参数说明如下，完成配置后，单击确定。

   模块	配置项	必填	说明
   基本信息	登录显示图标	是	登录界面按钮上显示的身份源图标，单击重新上传可上传自定义显示图标。
   	登录简称（中文）	是	显示在登录界面的按钮下方的名称，例如Azure AD快捷登录，点击输入框下方的示例了解展示效果。
   	登录简称（英文）	是	显示在登录界面的按钮下方的名称。
   	唯一标志	不涉及	登录源唯一标识，用于区分不同登录认证的租户，由小写字母、数字以及 - 组成，长度小于 32 位字符。由飞连默认提供，不可修改。
   	描述	否	认证源描述，非客户端展示字段，仅用于管理后台备注说明，长度小于40位字符。
   	登录认证位置	是	飞连登录位置，可多选手机端软件、桌面端软件或门户网站。
   认证信息	Application (Client) ID	是	填写已保存的Azure AD应用凭证 Application (Client) ID。您可以进入Azure AD 默认目录的 Overview 页面获取 Application (client) ID。
   	Tenant ID	是	填写已保存的Azure AD应用凭证 Tenant ID。您可以进入Azure AD 默认目录的 Overview 页面获取 Directory (tenant) ID。 Tenant ID 可以接收以下类型的值，此处配置的是最后一种。相关资料请参见终结点。 common：允许用户使用个人 Microsoft 帐户和工作、学校账号从 Azure AD 登录应用程序。 organizations：仅允许用户使用工作、学校账号从 Azure AD 登录应用程序。 consumers：仅允许用户使用个人的 Microsoft 账号 (MSA) 登录应用程序。 8eaef023-2b34-4da1-9baa-8bc8c9d6a490 或 contoso.onmicrosoft.com： 仅允许用户使用工作、学校账号从特定的 Azure AD 租户登录应用程序。 可以使用 Azure AD 租户的友好域名或租户的 GUID 标识符。
   	Client Secret	是	填写已保存的 Azure AD 应用凭证 Client Secret。您进入Azure AD 默认目录的 Certificates & secrets > Client secrets 页面获取 New client secret。
   高级配置	属性映射策略	是	将第三方登录认证源的用户信息直接映射为飞连的用户信息，即在登录过程中建立第三方与飞连用户之间的对应关系： 调整字段映射关系：左侧 Azure AD 字段是指 Azure AD 内设置的用户字段。右侧飞连字段是指需要配置映射到飞连的用户字段。 开启登录自动更新：如果在对应映射字段后勾选了开启，表示在进行登录时，如果匹配到系统中存在的用户，会用本次登录时的用户属性对系统中的用户属性进行更新。 删除：删除当前映射策略。 添加：如果飞连默认提供的字段不能满足映射需求，可单击添加，手动添加字段映射关系。 添加扩展字段：如果当前字段不能满足映射策略，可单击添加扩展字段，填写说明如下： 字段 Key：定义字段的唯一值。 字段名称：设置字段的显示名称。 字段描述：填写字段的说明。
   	唯一标识优先级	是	通过拖拽设置匹配标识的优先级，飞连将按照优先级顺序匹配上游唯一标识。如果当前标识不能满足需求，可单击添加，手动添加标识。
   	登录未匹配到员工时，选择处置方式	否	企业成员登录飞连时，未在飞连组织架构匹配到用户时，将提供自动创建账号服务，可选： 自动创建员工账号：开启后，登录未匹配到员工时，将自动创建员工账号，将员工关联至指定部门。 员工登录失败，将不会创建账号：开启后，登录未匹配到员工时，将不创建账号。

配置效果

以在 macOS 中登录飞连客户端为例，打开飞连客户端，用户会在更多登录方式区域看到 Azure AD 图标。