1. 单点登录配置指南
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 单点登录配置指南

单点登录-钉钉SSO

概述#

本文档详细介绍如何在专属集成平台实现与钉钉的SSO(单点登录)功能配置。通过此配置,用户能够使用专属集成平台账号直接登录钉钉,无需重复输入账号密码,显著提升用户体验和工作效率,同时保障登录过程的安全性与便捷性。

功能价值#

一次认证,多系统访问:用户只需在专属集成平台完成一次身份认证,即可访问已授权的钉钉应用
简化登录流程:消除多系统重复登录的繁琐步骤,降低密码疲劳
提升安全管控:集中管理身份认证策略,增强访问控制能力
优化用户体验:无缝切换应用系统,提高办公效率
降低管理成本:统一身份管理,减少账号维护工作量

支持的单点协议#

专属集成平台支持多种标准单点登录协议,包括:
协议名称适用场景优势
OIDC现代Web应用,移动应用轻量级,基于JSON,适合移动场景
SAML企业级应用,传统IT系统成熟稳定,支持丰富的断言信息
OAuth2.0API授权,第三方应用授权分离认证与授权,灵活性高
CAS内部系统集成简单易用,配置门槛低
本文档以OIDC协议为例,详细说明与钉钉的SSO单点登录配置。

前提条件#

在开始配置前,请确保满足以下条件:
拥有专属集成平台的管理员账号,并已成功登录平台
企业已在钉钉平台完成注册,并开通了钉钉开发者权限
具备获取钉钉AppKey和AppSecret的权限
确保专属集成平台与钉钉服务器之间网络连接正常,无防火墙或网络策略限制
确保已完成专属集成平台与钉钉的用户映射或通讯录同步,保证用户标识一致性

配置步骤#

配置专属集成平台钉钉SSO单点登录应用#

创建SSO应用#

1
登录管理控制台
登录专属集成平台管理控制台
2
导航到应用管理
导航至"应用中心>应用管理"
3
创建自定义应用
点击"新建应用>自定义应用"
image.png

配置应用基本信息#

image.png
字段说明:
字段名称说明配置建议
应用图标自定义上传个性化图标使用钉钉Logo或相关图标,便于识别
应用分类应用功能的归属类别通常选择"办公协作"或"企业应用"
应用名称自定义应用名称建议命名为"钉钉单点登录"或类似名称
首页地址应用跳转的首页链接填写:https://login.dingtalk.com/oauth2/oidcCallBack.htm
应用简介应用功能描述简要描述应用用途,如"实现与钉钉的单点登录集成"
点击"下一步"。

配置SSO单点参数#

image.png
image.png
字段名称说明钉钉SSO配置要求
登录配置设置支持的登录方式可选择本地登录、企业认证登录、多因子认证(MFA)等
单点协议选择单点登录协议选择"OIDC"协议
认证设置授权方式选择"授权码模式"(authorization_code、implicit)
RedirectURIs单点登录回调地址填写:https://login.dingtalk.com/oauth2/oidcCallBack.htm
Token有效期登录权限的有效期根据安全策略设置,通常为1-24小时
IDToken签名设置IDToken的签名方式选择"RS256"
重要提示:请特别注意属性声明配置。需要将与钉钉userid一致的属性声明名称改为"sub",这直接影响单点登录是否成功。
点击"保存",应用创建完成。

用户授权配置#

1
进入授权范围
为应用配置授权范围,确定哪些用户可以使用此SSO应用
2
选择授权方式
可通过以下三种方式进行授权:
基于组织架构和用户授权:授权特定部门或用户
基于角色授权(RBAC):通过静态标签(角色)授权
基于用户属性授权(ABAC):通过动态标签(用户属性)授权

钉钉管理后台配置SSO登录#

访问钉钉SSO设置#

1
登录钉钉管理后台
登录钉钉管理后台:https://oa.dingtalk.com/index.htm#/welcome
2
导航到SSO设置
导航至"安全与权限>SSO单点登录设置"
image.png

配置SSO参数#

1
选择专属集成平台
选择配置方式为"专属集成平台"
2
填写参数
输入必要参数:
Issuer:填写钉钉自建应用所在地址,如https://xxxxxxx.dingtalk.com
ClientID:填写SSO单点应用的ClientID值,如AD124032EB21B9EAAB8F35B7A4119D0E
image.png
image.png

配置授权范围#

选择允许使用SSO登录的用户范围,可以基于组织架构、角色或用户属性进行配置。设置完成后,点击"保存"完成配置。

配置验证#

测试SSO登录流程#

1
打开钉钉客户端
打开钉钉客户端或网页版
2
选择企业认证
在登录界面选择"企业认证"方式
3
完成认证
系统自动跳转到专属集成平台的登录页面,输入专属集成平台的用户名和密码
4
验证结果
验证身份成功后,自动跳回钉钉并完成登录

验证要点#

确认用户能够成功重定向到专属集成平台登录页面
验证登录成功后能自动返回钉钉并完成授权
检查用户在钉钉中的身份信息是否正确

常见问题#

Q:配置完成后,钉钉SSO登录失败,显示「用户不存在」错误?
Q:SSO配置中的RedirectURI应该填写什么地址?
Q:钉钉管理后台中无法找到「专属集成平台」选项?
Q:用户通过SSO登录钉钉后,不久就被自动登出?
Q:部分用户可以使用SSO登录,部分用户不行?
Q:SSO登录时出现「RedirectURI不匹配」错误?
Q:如何增强SSO登录的安全性?
Q:用户离职后,如何立即撤销其SSO登录权限?

故障排除#

日志分析#

当SSO登录出现问题时,可以通过以下日志进行分析:
1.
专属集成平台的认证日志:
位置:系统管理>日志管理>认证日志
关注点:认证失败原因、错误代码、用户ID映射
2.
钉钉开放平台日志:
位置:钉钉开发者后台>应用管理>应用调试
关注点:API调用错误、回调失败、参数不匹配

常见错误代码解析#

错误代码错误描述可能原因解决方案
invalid_request无效请求请求参数缺失或格式错误检查请求参数完整性和格式
unauthorized_client未授权客户端ClientID无效或未授权验证ClientID正确性和授权状态
access_denied访问被拒绝用户未授权或权限不足检查用户授权配置和权限设置
invalid_token无效令牌令牌过期或被撤销重新获取令牌或检查令牌有效期
invalid_grant无效授权授权码已使用或过期重新进行授权流程
unsupported_response_type不支持的响应类型配置了不支持的响应类型修改为支持的响应类型(如code)
server_error服务器错误服务器内部错误查看服务器日志,联系技术支持

网络问题排查#

网络连通性检查#

1.
域名解析验证:
在专属集成平台服务器上执行ping login.dingtalk.com命令
使用nslookup login.dingtalk.com验证DNS解析是否正确
2.
网络连接测试:
使用telnet login.dingtalk.com 443测试HTTPS端口连通性
3.
代理设置检查:
确认专属集成平台的代理服务器配置(如适用)

防火墙与白名单配置#

域名IP端口用途优先级
login.dingtalk.com443钉钉认证服务高
api.dingtalk.com443钉钉API服务高
oapi.dingtalk.com443钉钉开放平台API高
*.dingtalk.com443钉钉相关服务中
*.alicdn.com443钉钉静态资源中
*.aliyuncs.com443阿里云服务中

常见网络问题解决方案#

问题现象可能原因解决方案
无法解析钉钉域名DNS服务器配置问题使用公共DNS如8.8.8.8或内网DNS配置钉钉域名解析
连接超时防火墙拦截或网络路由问题检查防火墙日志,添加必要的白名单规则
SSL握手失败TLS版本不兼容或证书问题升级到TLS1.2或更高版本,更新系统CA证书库
重定向失败RedirectURI被拦截确保redirectURI域名在白名单中,检查URL重写规则

最佳实践#

提升配置效率#

1.
前期准备充分:
提前收集所有必要的参数和信息
确认用户数据已同步且映射关系正确
准备测试账号,用于验证配置
2.
分阶段实施:
先在测试环境完成配置并验证
选择小范围用户进行试点
收集反馈并调整后再全面推广

优化用户体验#

1.
减少跳转次数:
优化登录流程,减少重定向步骤
确保页面加载速度快捷流畅
2.
清晰的错误提示:
为常见错误设置友好提示信息
提供自助排障指南或支持联系方式
3.
保持会话连续性:
合理设置会话超时时间
实现无感知的令牌刷新机制

安全建议#

1.
定期审计:
定期检查SSO配置和权限设置
审查异常登录行为和访问模式
2.
应用权限最小化:
仅授予应用必要的权限和范围
定期清理未使用的应用和授权
3.
加强身份验证:
考虑实施风险式身份验证
对敏感操作增加额外的身份验证步骤

附录#

参考资料#

钉钉开发者文档-SSO单点登录
修改于 2026-05-06 13:25:52
上一页
单点登录-CAS协议
下一页
单点登录-分贝通
Built with