飞连支持企业将第三方平台的组织架构信息导入飞连,并支持配置第三方登录飞连。本文主要介绍如何在飞连管理后台导入 Azure AD 组织架构,以及如何配置 Azure AD 第三方登录飞连。
操作指引
导入 Azure AD 组织架构
步骤一:在 Azure AD 创建应用 在飞连内导入 Azure AD 的组织架构,或者授权 Azure AD 第三方登录飞连前,您需要先在 Microsoft Azure portal 注册一个应用并完成应用配置。具体操作说明如下:
在 Microsoft 门户创建一个 Azure 账号。
创建新的 Azure AD 租户时,您将成为该租户的第一个用户。作为第一个用户,会自动分配到全局管理员角色。您可以通过导航到用户页面 查看用户信息。
默认情况下,您还被列为租户的技术联系人。您可以在 Properties 中更改技术联系信息。关于全局管理员、技术联系人的更多信息,请参见 Global Administrator 、What do these fields mean 。
登录 Azure 门户 。 在 Azure 门户菜单的 Manage Azure Active Directory 卡片内,单击 View 。 在 Azure Active Directory 页面,单击 Manage tenants 。 单击 Create 。
设置租户名、域名(确保可用)、租户类型为 Azure Active Directory。
示例配置如下图所示: 在 Basics 页签,选择要创建的租户类型,Azure Active Directory 或 Azure Active Directory (B2C)。 单击下一步到 Configuration 页签,并填写以下信息。
在 Organization name 中填写 Contoso 组织。 在 Initial domain name 中填写 Contosoorg。 在 Country/Region 中选择美国。 单击下一步查看已填写的配置信息,无问题后完成创建。 在 Microsoft 表示平台注册一个应用。
若要将身份和访问管理功能委派给 Azure AD,必须向 Azure AD 租户注册应用程序。当您向 Azure AD 注册应用程序时,会创建一个标识配置,以允许它与 Azure AD 集成。在 Azure 门户中注册应用程序时,您可以选择它是单租户(仅在您的租户中可访问)还是多租户(可在其他租户中访问),并且可以选择设置重定向 URI(访问令牌发送到的位置)。
完成应用程序注册后,会获取一个全局唯一的应用程序实例(应用程序对象),该实例位于您的主租户或目录中。该应用拥有全局唯一 ID(应用程序或客户端 ID),然后在 Azure 门户中添加机密或证书获取应用 Secret。
登录 Azure 门户 。 (可选)在顶部菜单栏,切换到需要注册应用程序的租户。
如果您有权限访问多个租户,则可能需要先进行切换至目标租户的操作。 搜索并选择 Azure Active Directory 管理,在 App registrations 页面选择 Add > App registration 。 输入应用程序的名称。
使用应用程序的用户可能会看到显示的应用名称。 注册应用程序自动生成的应用程序(客户端)ID 是应用程序的唯一标识。 设置 API 访问权限。注意
此处必须开启相应的 API 权限,否则飞连内导入 Azure AD 组织架构或者授权第三方登录时将无法正常连通。
单击应用进入应用详情页,在左侧导航栏单击 API permissions 。
单击 Add a permission ,并单击 Microsoft Graph 。
在 Delegated permissions 中添加委派 相关权限,在 Application permissions 中添加应用 相关权限。
需要开启的具体权限说明:
权限类
具体权限
委派权限(Delegated Permissions)
Directory.AccessAsUser.All Directory.ReadWrite.All Group.ReadWrite.All User.Read User.ReadBasic.All 应用相关权限
Directory.ReadWrite.All Group.ReadWrite.All
权限开启示例如下图所示:
在 Redirect URI(optional) 中配置飞连门户域名。
飞连门户域名地址格式:https://<飞连门户域名>:<端口>/api/tpslogin/callback/aad
。 单击注册,完成初始应用的注册。
注册完成后,Azure 门户会显示应用注册的概览 窗格。您可以看到 Application (client) ID ,也称为客户端 ID,此值在 Microsoft 标识平台中唯一标识您的应用程序,请保存该值,后续在飞连管理后台配置时需要使用。Supported account types 配置项说明:
该配置项是指支持的账号类型,根据您的实际情况选择合适的类型,如果希望其他组织的账号也能够使用该应用,请选择 Any Azure AD directory - Multitenant ,如果您只希望自己组织的成员使用该应用,请选择 Single tenant 。
如果选择 Single tenant ,当其他组织的用户尝试使用 Azure AD 登录时,会提示类似以下的错误。 创建一个 Client Secret。进入应用详情 > Certificates & secrets 页面,单击 + New client secret 。 选择密钥的过期时间或指定自定义生命周期。
客户端密钥有效期限制为两年(24 个月)或更短。您不能指定超过 24 个月的自定义生命周期。 Microsoft 建议您将到期值设置为小于 12 个月。 记录 Value 值。
Value 值用于后续在飞连内配置 Azure AD 的组织架构导入与第三方登录时,配置应用 Secret 值。 选择 secret 过期时间。
选择后您可以看到生成的密码,请保存该值。
步骤二:在飞连管理后台进行数据同步 登录飞连管理后台。
在左侧导航栏,选择账号配置 。
在账号配置 页面的数据源同步 页签,单击添加数据源 。
在选择数据源 对话框,单击 Azure AD ,并单击创建 。
在导入配置 页面的数据源 区域,将已保存的Azure AD应用凭证配置在用户池 ID 、用户池 Secret 、用户池地址 字段,并单击下一步 。
填写字段值后,单击第三方权限探测 区域的开始检测 ,以帮助您有效检查是否已配置好第三方平台的权限,避免在配置完成后无法正常使用导入功能。
在数据对象 区域,完成以下配置,并单击下一步 。
在选择部门与成员 区域,选择同步对象。
被选择的同步对象会被导入飞连管理后台。 在同步字段映射 区域,设置第三方与飞连的字段映射关系。
同步字段映射用于企业将第三方的成员信息中的字段映射到飞连内,其中,手机号 和邮箱 用于匹配用户唯一账号关系,暂不支持删除有关手机号或邮箱的字段映射关系。
在同步字段映射 区域,单击编辑 ,可手动调整字段映射关系,左侧第三方字段 是指第三方平台内设置的用户字段。右侧飞连字段 是指第三方平台映射到飞连的用户字段。字段配置说明如下:
在飞连字段列,第三方 ID(用户 ID)、手机号(手机号码)、邮箱(员工邮箱)字段不允许修改与删除,用于匹配用户唯一账号关系。 如果飞连默认提供的字段不能满足映射需求,可单击添加映射 ,手动添加字段映射关系。
添加映射时,除了选择飞连提供的默认字段,还支持手动添加扩展字段。
第三方字段 中添加扩展字段方式如下图所示。飞连字段 中添加扩展字段方式如下图所示,扩展字段填写说明如下:字段 Key :定义字段唯一值。字段名称 :字段的显示名称。字段描述 :字段的说明。字段类型 :可选字符串 、数字 、布尔值 、表达式 、枚举值。 高级配置 :可选必填 、唯一 、编辑 。
在第三方字段 和飞连字段 列名右侧,单击设置图标,可以统一管理扩展字段(包括添加、编辑、删除操作)。 在导入模式 区域,选择导入模式,并单击完成配置 。
当 Azure AD 数据发生变更时,飞连为您提供了以下同步数据的方式可选,包括手动导入 、自动导入 。
同步方式
说明
策略
手动导入
在配置好数据源后,由人工主动触发数据同步操作。适用于企业管理员配置完成后,当下不想立即执行同步任务,待调试准备完成后,再进行手动同步的工作。
手动全量同步
自动导入
指定时间同步第三方数据源。适用于企业需要在固定时间完成数据同步的场景。
定时全量同步
手动导入 :选择手动导入 ,后续在数据接入列表中,手动开始导入组织架构数据。自动导入 :选择自动导入 ,并选择导入模式,支持设置每隔多少分钟或小时,或者设置每天固定时间点导入组织架构。在数据源同步 页签的列表中,找到已添加的数据源配置,打开生效开关。
打开生效开关后,该数据同步配置才正式生效,后续按照设置的同步方式进行数据同步。
说明
如果同步方式设置的手动导入,则打开生效开关后,可根据实际需要手动单击开始同步 。
此外,单击 AzureAD数据同步 ,支持查看以下信息:
同步配置 页签:查看基础信息 、同步机制 、同步策略 信息。
同步任务 页签:查看历史同步记录。您可以通过以下三个筛选条件,筛选出目标同步任务。
在同步数据详细信息的操作 列,单击详情 ,可查看该信息上游同步至飞连数据源的信息对比。对比同步前后的信息内容,可帮助您进行日志审计或排查用户数据问题。
筛选条件
说明
变更动作
可选全部 、创建 、更新 以及删除 :
全部 :包含所有变更动作的同步任务。创建 :代表创建了新的同步任务。更新 :代表更新了已有同步任务。删除 :代表上游数据源删除数据时,并同步飞连。同步状态
可选全部 、成功 、失败 以及忽略 :
全部 :包含所有同步状态的同步任务。成功 :代表同步成功的同步任务。失败 :代表同步失败的同步任务。忽略 :代表由于各种原因不入库的情况,例如全量同步任务发现已有实时任务将新数据入库时,飞连选择忽略这些数据,不将其入库。搜索部门/员工
通过同步数据包含的部门或员工名称筛选。
配置 Azure AD 第三方登录飞连
登录飞连管理后台。
在左侧导航栏,选择账号配置 。
在认证源管理 页签下,单击 +添加认证源 。
在选择认证源 对话框中,单击 Azure AD 卡片。
说明
根据 Azure AD 账号实际情况,选择国际版 或国内版 。您可以登录 Azure AD 账号,根据 Azure 门户域名信息判断当前的版本。相关资料请参见 National clouds 。
国际版域名信息:portal.azure.com 国内版域名信息:portal.azure.cn 参考界面提示配置参数,关键参数说明如下,完成配置后,单击确定 。
模块
配置项
必填
说明
基本信息
登录显示图标
是
登录界面按钮上显示的身份源图标,单击重新上传 可上传自定义显示图标。
登录简称(中文)
是
显示在登录界面的按钮下方的名称,例如Azure AD快捷登录,点击输入框下方的示例 了解展示效果。
登录简称(英文)
是
显示在登录界面的按钮下方的名称。
唯一标志
不涉及
登录源唯一标识,用于区分不同登录认证的租户,由小写字母、数字以及 - 组成,长度小于 32 位字符。由飞连默认提供,不可修改。
描述
否
认证源描述,非客户端展示字段,仅用于管理后台备注说明,长度小于40位字符。
登录认证位置
是
飞连登录位置,可多选手机端软件 、桌面端软件 或门户网站 。
认证信息
Application (Client) ID
是
填写已保存的Azure AD应用凭证 Application (Client) ID。您可以进入Azure AD 默认目录的 Overview 页面获取 Application (client) ID。
Tenant ID
是
填写已保存的Azure AD应用凭证 Tenant ID。您可以进入Azure AD 默认目录的 Overview 页面获取 Directory (tenant) ID。
Tenant ID 可以接收以下类型的值,此处配置的是最后一种。相关资料请参见终结点 。
common:允许用户使用个人 Microsoft 帐户和工作、学校账号从 Azure AD 登录应用程序。 organizations:仅允许用户使用工作、学校账号从 Azure AD 登录应用程序。 consumers:仅允许用户使用个人的 Microsoft 账号 (MSA) 登录应用程序。 8eaef023-2b34-4da1-9baa-8bc8c9d6a490 或 contoso.onmicrosoft.com: 仅允许用户使用工作、学校账号从特定的 Azure AD 租户登录应用程序。 可以使用 Azure AD 租户的友好域名或租户的 GUID 标识符。 Client Secret
是
填写已保存的 Azure AD 应用凭证 Client Secret。您进入Azure AD 默认目录的 Certificates & secrets > Client secrets 页面获取 New client secret。
高级配置
属性映射策略
是
将第三方登录认证源的用户信息直接映射为飞连的用户信息,即在登录过程中建立第三方与飞连用户之间的对应关系:
调整字段映射关系:左侧 Azure AD 字段是指 Azure AD 内设置的用户字段。右侧飞连字段是指需要配置映射到飞连的用户字段。 开启登录自动更新:如果在对应映射字段后勾选了开启 ,表示在进行登录时,如果匹配到系统中存在的用户,会用本次登录时的用户属性对系统中的用户属性进行更新。 删除 :删除当前映射策略。添加 :如果飞连默认提供的字段不能满足映射需求,可单击添加 ,手动添加字段映射关系。添加扩展字段 :如果当前字段不能满足映射策略,可单击添加扩展字段 ,填写说明如下:
字段 Key :定义字段的唯一值。字段名称 :设置字段的显示名称。字段描述 :填写字段的说明。唯一标识优先级
是
通过拖拽设置匹配标识的优先级,飞连将按照优先级顺序匹配上游唯一标识。如果当前标识不能满足需求,可单击添加 ,手动添加标识。
登录未匹配到员工时,选择处置方式
否
企业成员登录飞连时,未在飞连组织架构匹配到用户时,将提供自动创建账号服务,可选:
自动创建员工账号 :开启后,登录未匹配到员工时,将自动创建员工账号,将员工关联至指定部门。员工登录失败,将不会创建账号 :开启后,登录未匹配到员工时,将不创建账号。
配置效果 以在 macOS 中登录飞连客户端为例,打开飞连客户端,用户会在更多登录方式 区域看到 Azure AD 图标。