1. 单点登录配置指南
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 单点登录配置指南

单点登录-泛微OA

1. 概述#

本文档详细介绍如何配置专属集成平台与泛微e-cology OA系统之间的单点登录功能。主要涵盖通过泛微OA的"Token认证"集成方式,实现在企业门户、飞书工作台等平台单点登录到泛微OA系统的完整配置步骤。
说明:如果泛微OA开通了"认证接入管理"功能,也支持"CAS集成"和"OAuth集成"等标准协议集成方式。本文主要针对Token认证这一非标准协议的集成场景。

2. 前提条件#

2.1 环境准备#

在开始配置前,请确保满足以下条件:
已开通专属集成平台租户并拥有管理员权限
已拥有泛微OA的管理员权限,并确认支持"Token认证"集成方式
泛微OA已正确配置网络环境,包括白名单、防火墙等设置
image.png

2.2 网络环境配置#

项目内容说明
专属集成平台
部署方式SaaS
服务出口IP123.57.150.128123.56.113.252123.57.151.3439.107.116.15039.105.31.618.140.227.212需要添加到泛微OA的IP白名单
泛微OA
系统版本泛微OA(e-cology9)或其他版本
IP白名单需添加专属集成平台服务出口IP允许专属集成平台访问泛微OA
用户端IP白名单客户端IP地址允许用户端访问泛微OA
泛微OA登录地址如:http://122.224.255.18:59821提供公网访问地址
VPN如有必要,提供VPN账号及工具用于内网环境访问
注意:如果泛微OA部署在企业内网,确保已配置好相关的网络代理或VPN,使专属集成平台能够正常访问泛微OA系统。

3. 泛微OA配置#

3.1 启用Token认证#

1.
登录泛微OA管理后台
2.
点击右上角"...",进入"后端应用中心"
image.png
1.
导航至:集成中心 > 统一认证中心 > 认证服务管理 > Token认证
2.
启用Token认证功能,并配置以下参数:
参数值说明
获取Token地址http://[域名或IP:端口]/ssologin/getToken例如:http://122.224.255.18:59821/ssologin/getToken
校验Token地址http://[域名或IP:端口]/ssologin/checkToken例如:http://122.224.255.18:59821/ssologin/checkToken
image.png
image.png

3.2 注册认证应用#

1.
进入认证应用管理页面
2.
点击"新建"按钮创建一个新的认证应用
image.png
image.png
1.
配置认证应用参数:
image.png
参数值说明
启用开启启用此认证应用
认证方式Token选择Token认证方式
应用标识如:PoC点击生成,并复制保存,后续配置需要使用
应用密钥自动生成点击生成,并复制保存,后续配置需要使用
应用简称如:PoC自定义简称
应用全称如:PoC自定义全称
IP白名单专属集成平台的服务出口IP地址多个IP用逗号分隔
账号映射规则手机号可选:用户名、工号、邮箱、手机号码、身份证等
重要提示:请务必妥善保存应用标识和应用密钥,这些信息将在专属集成平台配置中使用。同时,确保账号映射规则与专属集成平台中的用户标识保持一致。

3.3 获取SSO登录地址#

泛微OA的SSO登录地址通常为:
http://[域名]/wui/index.html
或 http://[IP:端口]/wui/index.html
记录此地址,用于后续专属集成平台配置。

4. 专属集成平台配置#

4.1 创建泛微OA应用#

1.
登录专属集成平台管理后台
2.
导航至:应用中心 > 应用管理 > 应用市场
3.
在搜索框中输入"泛微OA",找到应用并点击添加
image.png
image.png

4.2 配置基本信息#

在应用详情页面,配置应用基本信息:
image.png
基本信息参数说明
自定义应用名称自定义有意义的应用名称
应用分类选择或创建适合的应用分类
是否允许自动申请决定未授权用户是否可以申请使用该应用
首页地址个人门户中访问应用的地址
Client ID系统自动生成,不可编辑
Client Secret系统自动生成,不可编辑,但可重置

4.3 配置登录设置#

切换到"登录配置"选项卡,设置登录相关参数:
image.png
登录配置参数说明
本地登录方式可选择用户名密码、短信验证码、邮箱验证码等方式
企业认证登录是否支持企业认证源的登录方式
多因子认证是否启用二次验证
集成协议选择泛微OA支持的协议类型,此处选择"Token认证"
访问地址应用的登录地址

4.4 配置非标协议参数#

继续配置Token认证所需的特定参数:
image.png
参数值说明
应用appId泛微OA中生成的应用标识从泛微OA认证应用管理中获取
获取token地址完整的getToken URL如:http://122.224.255.18:59821/ssologin/getToken
检查token的地址完整的checkToken URL如:http://122.224.255.18:59821/ssologin/checkToken
单点登录URL泛微OA的SSO登录地址如:http://122.224.255.18:59821/wui/index.html
用户标识与泛微OA账号映射规则一致的字段如选择"手机号"
匹配说明:用户标识必须与泛微OA中设置的账号映射规则保持一致,确保专属集成平台的用户能够正确映射到泛微OA系统中的用户。

4.5 配置授权范围#

最后,配置允许访问此应用的用户范围:
image.png
专属集成平台支持三种授权方式:
1.
基于组织架构和用户授权:
可选择特定的部门或用户进行授权
适合按组织结构管理访问权限的场景
基于组织架构和用户授权
2.
基于角色授权(RBAC):
通过静态标签(角色)进行授权
适合按职能角色管理访问权限的场景
基于角色授权(RBAC)
3.
基于用户属性授权(ABAC):
通过动态标签(用户属性)进行授权
适合按用户特定属性管理访问权限的场景
基于用户属性授权(ABAC)
根据企业实际需求,选择合适的授权方式并配置授权范围。

5. 测试与验证#

5.1 测试步骤#

1.
登录专属集成平台用户门户
2.
在应用列表中找到并点击"泛微OA"应用图标
3.
系统应自动完成认证并跳转至泛微OA界面
4.
验证是否成功登录泛微OA且无需再次输入账号密码

5.2 常见问题排查#

如遇到单点登录失败,请检查以下几个方面:
问题可能原因解决方案
无法获取Token应用标识或密钥配置错误检查应用appId是否正确配置
Token验证失败IP白名单配置有误确认专属集成平台IP已添加到泛微OA白名单
登录后提示用户不存在用户标识映射不匹配检查两边系统的用户标识配置和映射规则
网络连接问题网络环境限制检查网络防火墙、代理设置或VPN连接

6. 最佳实践#

6.1 安全建议#

定期更新应用密钥,提高系统安全性
严格控制IP白名单,只允许必要的系统访问
启用多因子认证,增强身份验证强度
定期审计访问日志,监控异常登录行为

6.2 用户体验优化#

在企业门户中突出显示泛微OA应用入口
为用户提供清晰的使用指南
配置合理的会话超时时间
在单点登录失败时提供友好的错误提示

7. 附录#

7.1 术语解释#

Token认证:一种基于令牌的认证机制,用户通过获取和验证令牌来实现身份认证
SSO(单点登录):允许用户使用单一身份凭证访问多个应用系统的技术
账号映射规则:确定如何将一个系统中的用户身份映射到另一个系统的规则

7.2 参考文档#

钉钉工作台触发单点登录参考文档:钉钉工作台应用免登
IDP发起单点登录拼接地址参考文档:单点登录(SSO)链接拼接指南
泛微OA官方集成文档
泛微Token认证技术规范
修改于 2026-05-06 13:02:30
上一页
单点登录-宜搭
下一页
单点登录-致远OA
Built with