1. 三方认证源配置手册
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 三方认证源配置手册

认证源-AD Azure

概述#

Microsoft Azure AD(现名 Microsoft Entra ID)是微软基于云的身份和访问管理服务,提供基于 OpenID Connect(OIDC)的现代身份认证能力。专属集成平台支持将 Azure AD 配置为认证源,用户可使用 Azure AD / Microsoft 365 账号一键登录平台。
Azure AD 认证源底层基于 OIDC 协议,通过微软身份平台(Microsoft Identity Platform)完成用户身份验证并获取用户信息及组成员关系。
核心能力:
统一身份登录:用户使用 Azure AD / Microsoft 365 工作或学校账号登录
自动用户同步:首次登录时通过 JIT 自动创建平台用户
多租户支持:支持单租户和多租户应用注册模式
属性持续更新:支持每次登录时按规则更新用户属性
适用场景:
企业使用 Microsoft 365 作为办公套件,Azure AD 作为身份主数据源
混合云环境下需要统一管理本地 AD 和云端 Azure AD 身份
需要集成 Microsoft 生态(Teams、SharePoint 等)的企业应用
SaaS 应用集成中需要支持 Azure AD 单点登录

前提条件#

序号条件说明
1平台管理员权限拥有专属集成平台的管理员账号
2Azure 订阅拥有有效的 Microsoft Azure 订阅
3Azure AD 租户已有 Azure AD 租户(每个 Microsoft 365 组织自动拥有)
4应用注册在 Azure Portal 的 应用注册 中创建应用并获取凭证
5Tenant IDAzure AD 租户的目录 ID(租户 ID)
6Client ID应用程序(客户端)ID
7Client Secret客户端密码(Client Secret)
注意:在 Azure AD 中注册应用的详细步骤请参考 Azure 应用注册指南。注册时需配置重定向 URI 为平台的回调地址。

操作步骤#

添加 Azure AD 认证源#

1
添加认证源
1.
登录专属集成平台管理后台。
2.
在左侧导航栏依次点击 用户中心 → 认证源管理。
3.
点击页面右上角的 添加认证源 按钮。
4.
在弹出的选择框中,选择 Azure AD 或 OIDC 类型。
提示:Azure AD 认证源与通用 OIDC 协议认证源功能相同,但预置了 Azure AD 的端点地址和默认属性映射,简化了配置流程。如果使用其他 OIDC 兼容的身份提供商(如 Okta、Auth0),请选择 OIDC 类型。
2
配置基本信息
在认证源配置表单中填写以下参数:
参数必填说明示例
认证源名称是在登录页显示的认证源名称Microsoft 登录 或 Azure AD 登录
Tenant ID是Azure AD 租户的目录(租户)IDa1b2c3d4-e5f6-7890-abcd-ef1234567890
Client ID是应用的应用程序(客户端)IDa1b2c3d4-e5f6-7890-abcd-ef1234567890
Client Secret是应用的客户端密码,用于令牌交换********
认证源图标否上传图标文件,支持 PNG/JPG,建议 64×64px—
重要:Tenant ID、Client ID 和 Client Secret 需在 Azure Portal(https://portal.azure.com)的 Microsoft Entra ID → 应用注册 → 应用概述 中获取。Client Secret 需在 证书和密码 → 客户端密码 中创建,创建后应立即保存(离开页面后将无法再次查看)。
3
配置回调地址
1.
复制专属集成平台自动生成的回调地址(格式:{平台域名}/api/auth/callback/azure)。
2.
登录 Azure Portal,进入 Microsoft Entra ID → 应用注册 → 选择应用 → 身份验证。
3.
点击 添加平台,选择 Web。
4.
在 重定向 URI 字段中,填入复制的回调地址。
5.
勾选 访问令牌 和 ID 令牌 复选框。
6.
保存 Azure Portal 配置。
警告:Azure AD 要求重定向 URI 使用 HTTPS 协议,且不支持 IP 地址。请确保平台域名已配置有效的 SSL 证书。对于本地开发环境,Azure AD 支持 http://localhost 作为重定向 URI。
4
配置属性映射
将 Azure AD 返回的用户属性(通过 ID Token 和 UserInfo 端点)映射到平台用户模型:
Azure AD 属性平台字段映射方式说明
subusername创建且更新用户唯一标识符,建议设置唯一字段匹配
emailemail创建且更新用户邮箱地址
namedisplay_name创建且更新用户显示名称
preferred_usernamelogin_name创建且更新用户登录名(通常为 UPN 格式)
given_namefirst_name创建且更新用户名字
family_namelast_name创建且更新用户姓氏
pictureavatar_url创建且更新用户头像 URL
重要:至少需要配置一个唯一字段匹配规则(sub → username),这是系统识别已有用户的依据。Azure AD 的 sub 是用户在该应用下的唯一标识,不建议使用 email 作为唯一匹配字段(用户邮箱可能会变更)。
5
配置 JIT
JIT(Just-In-Time)指用户首次通过 Azure AD 认证源登录时,平台自动创建用户账号的功能。
参数说明
启用 JIT开启后,首次通过 Azure AD 认证的用户将自动在平台创建账号。若关闭,不在平台中的用户将认证不通过
更新策略关闭:用户首次创建后,后续登录不更新任何属性;开启:每次登录时根据映射规则更新用户属性
指定部门通过 JIT 创建的用户自动归属的部门。不指定则创建在默认部门中
重要:如在 Azure AD 中维护了完整的用户信息并希望自动同步到平台,建议开启更新策略。Azure AD 作为云端目录服务,用户信息变更后每次登录即可自动同步到平台。
6
完成配置
1.
确认所有参数填写无误。
2.
点击 保存 按钮。
3.
系统将验证 Azure AD 端点连通性,验证通过后认证源创建成功。
4.
认证源将出现在列表中,状态为 已启用。

验证与测试#

测试项验证方法预期结果
认证源连通性在认证源列表中点击 测试连接提示连接成功
登录跳转打开登录页,点击 Azure AD 认证源图标正确跳转至 Microsoft 登录页面
用户授权在 Microsoft 页面输入凭据并完成认证成功跳回平台并完成登录
属性同步登录后查看用户中心个人信息用户名、邮箱、显示名称与 Azure AD 一致
JIT 创建使用 Azure AD 中未预先创建的新用户登录平台自动创建该用户账号
多因素认证如 Azure AD 启用了条件访问策略按 Azure AD 策略要求完成 MFA 后正常登录

常见问题#

Q1:登录时提示"AADSTS50011:The reply URL specified in the request does not match..."?
Q2:登录成功但获取用户信息为空?
Q3:Azure AD 用户登录后平台中邮箱字段为空?
Q4:支持的 Azure AD 版本和租户类型?
修改于 2026-05-06 10:48:58
上一页
认证源-Google Workspace
下一页
认证源-美云智数
Built with