1. 三方认证源配置手册
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 三方认证源配置手册

认证源-钉钉

概述#

通过配置钉钉作为身份认证源,用户可使用钉钉账号扫码或密码登录专属集成平台,实现钉钉组织架构信息与平台的自动同步。
核心能力:
一键登录:通过钉钉账号扫码或密码登录企业内部应用系统
自动用户同步:首次登录时通过 JIT 自动创建平台用户
组织同步:将钉钉中的用户和组织架构信息映射到平台
属性持续更新:支持每次登录时按规则更新用户属性
适用场景:
企业使用钉钉作为统一办公入口和身份主数据源
移动办公场景下员工频繁使用移动设备工作
需要将钉钉组织架构同步到平台实现统一权限管理
SaaS 应用集成中减少身份管理复杂度

前提条件#

序号条件说明
1平台管理员权限拥有专属集成平台的管理员账号
2钉钉管理员账号拥有已认证的钉钉企业账号,且具有管理员权限
3钉钉应用信息CorpId、AppKey、AppSecret(需在钉钉开发者平台创建应用后获取)
4网络连通性确保平台可正常访问钉钉服务
5测试账号准备一个在钉钉应用可见范围内的测试账号
注意:创建钉钉应用的详细步骤请参考 钉钉开放平台创建应用。

操作步骤#

添加钉钉认证源#

1
添加认证源
1.
登录专属集成平台,在左侧导航栏选择 用户中心 > 认证源管理
2.
点击 新建身份源,选择 企业认证源,然后选择 钉钉 认证源
image.png
2
配置基本信息
image.png
参数必填说明
名称是自定义认证源名称,建议使用有意义的命名,如 [公司名]-钉钉-SSO
企业选择是可选择已授权的钉钉企业,或点击 新建企业 填写钉钉相关信息
新建企业参数:点击 新建企业 后,需填写以下信息:
image.png
参数说明
企业名称输入企业名称,用于平台内标识
CorpId钉钉企业的 CorpId(企业唯一标识)
AppKey钉钉应用的 AppKey(应用唯一标识)
AppSecret钉钉应用的 AppSecret(应用密钥)
提示:CorpId、AppKey、AppSecret 可从 钉钉开放平台 的应用详情页获取。
3
配置回调地址
image.png
回调地址 是认证通过后返回的页面地址,需将此地址填入钉钉应用设置中:
image.png
1.
在钉钉开放平台的应用详情中,找到 登录与分享 或 安全设置 页面
2.
将平台生成的回调地址填入钉钉应用的回调域名配置中
3.
点击添加按钮保存设置
重要:确保回调域名与钉钉应用中配置的可信域名完全一致,否则认证将失败。
4
配置账号关联
属性映射定义了钉钉账号属性与平台用户属性的对应关系,建议在配置前先了解属性管理中的属性机制。
推荐映射关系:
钉钉属性平台属性映射方式说明
用户IDdingtalk_user_id创建且更新钉钉用户唯一标识符,建议设置唯一字段匹配
邮箱email创建且更新核心唯一匹配字段,确保用户识别
姓名display_name创建且更新用户显示姓名
手机号码mobile创建且更新用户手机号码
部门department创建且更新用户所属部门
职位job_title创建且更新用户职位
头像URLavatar_url创建且更新用户头像 URL
重要:至少需要配置一个唯一字段匹配规则(如 邮箱 → email 或 用户ID → dingtalk_user_id)。
数据类型匹配:确保源属性和目标属性的数据类型兼容,避免数字型字段映射到日期型字段。
5
配置JIT
JIT(Just-in-Time)允许用户首次通过钉钉登录时自动在系统中创建对应账号。
JIT 开关:找到 无匹配用户自动映射(JIT)配置 区域,将开关切换为 已开启 状态。
image.png
说明:开启 JIT 后,当用户通过钉钉认证登录时,若系统中找不到匹配的用户账号,会根据映射规则自动创建新用户。
更新策略:
选项说明适用场景
关闭用户首次创建后,后续登录不更新任何属性内部信息手动维护,仅使用钉钉进行认证
开启每次登录时根据映射规则更新用户属性以钉钉为主数据源,需保持信息同步
指定部门:在 指定部门 下拉菜单中,选择默认创建用户所属的部门。
安全提示:建议为不同认证源用户创建专门的默认部门,并遵循最小权限原则,确保自动创建的用户不会获得过高权限。
6
登录界面定制
钉钉扫码登录支持自定义 Logo 和扫码欢迎语:
image.png
7
完成配置
1.
检查所有配置项是否正确
2.
点击 保存,完成钉钉认证源配置

验证与测试#

基础功能测试#

1.
退出当前管理员账号
2.
在登录页面确认出现 使用钉钉账号登录 选项
3.
点击该选项,使用测试用钉钉账号进行登录(扫码或密码登录)
4.
验证是否成功登录并跳转到系统首页

用户映射测试#

1.
使用管理员账号登录系统
2.
导航至 用户管理 页面
3.
查找通过钉钉登录的测试用户
4.
验证以下信息是否正确:
用户基本信息(姓名、邮箱等)
所属部门是否为 JIT 配置中指定的部门
用户状态是否为激活状态
用户属性是否按照映射规则正确设置

JIT功能测试#

1.
使用一个在平台中不存在的钉钉账号登录
2.
验证是否自动创建了新用户
3.
检查新用户是否被正确分配到指定部门
4.
确认用户属性是否正确从钉钉同步

属性映射验证#

1.
登录管理员账号,在 用户管理 中找到测试用户
2.
查看用户详情,确认所有配置的映射属性是否正确同步
3.
在钉钉端修改用户信息(如电话号码),然后让用户重新登录
4.
检查系统中对应属性是否更新(适用于开启了 更新已有用户的属性 的场景)

常见问题#

认证失败
无法自动创建用户
属性映射问题

最佳实践与安全建议#

配置最佳实践#

应用权限最小化:仅为钉钉应用分配必要的权限
可见范围控制:根据实际需要设置应用可见范围,避免不必要的暴露
完善映射规则:配置完整的账号关联映射,确保用户信息完整性
合理设置默认部门:为自动创建的用户设置专门的默认部门,方便管理
定期审核用户:定期检查通过 JIT 创建的用户,确保符合企业安全策略

安全加固建议#

启用多因素认证:为关键账号启用 MFA
定期更新密钥:定期更新钉钉应用的 AppSecret
监控异常登录:设置登录异常警报机制
应用隔离:为不同系统创建独立的钉钉应用,避免权限过大
数据传输加密:确保所有数据传输采用 HTTPS 加密
修改于 2026-05-06 10:56:03
上一页
认证源-OAuth2协议
下一页
认证源-AD
Built with