1. 单点登录配置指南
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 单点登录配置指南

单点登录-纷享销客应用

概述

纷享销客是一款连接型CRM系统,为企业提供营销获客、销售管理、渠道管理、服务管理等一体化智能CRM解决方案。其自有PaaS平台能够满足中大型企业的个性化需求,并为快消、农牧、制造业、高科技等行业提供专属CRM解决方案。

本文档详细介绍如何通过专属集成平台(专属集成平台)与纷享销客实现应用免登(SSO单点登录)功能,支持两种主流认证协议:SAML 2.0和OIDC (OpenID Connect)。通过配置单点登录,用户可使用统一的身份信息访问纷享销客,无需重复登录,显著提升用户体验和工作效率。

技术方案对比

协议类型优势适用场景复杂度
SAML 2.0成熟稳定,安全性高,支持大型企业身份管理系统企业级应用集成,内部系统对接中等
OIDC轻量级,基于REST/JSON,适合Web和移动应用多终端支持,现代Web应用较低

前提条件

  • 账号准备:
    • 拥有纷享销客管理员账号,具备认证配置权限
    • 拥有专属集成平台管理员账号
  • 用户数据准备:
    • 专属集成平台中已创建相应用户
    • 纷享销客中已创建对应用户
    • 重要:确保纷享销客用户的手机号与专属集成平台中对应用户的手机号保持一致
  • SAML协议特殊要求:
    • 纷享销客需要申请并审核通过企业专属域名
    • 需准备好专属集成平台的SAML元数据文件

SAML协议配置

纷享销客配置

确认企业域名

登录纷享销客管理后台,进入"后台管理 → 企业设置"界面 确认是否已有企业专属域名。若无,需联系纷享销客销售/售前申请域名

注意:域名审核需要客户联系纷享销客的销售/售前进行审核,否则审核流程会很慢。

image.png

配置SAML单点登录

域名审核通过后,进入单点配置界面 根据界面提示填写配置信息

image.png

image.png

配置关键参数说明:

参数名称来源取值示例说明
单点登录URL域名申请后自动填充baidu.my.fxiaoke.com/saml2/sp/sso/login需纯英文,不含特殊符号和空格
用户创建根据需求选择【登录前导入】建议选择【登录前导入】
标识符实体纷享销客元数据xxx-crm从纷享销客元数据XML的EntityDescriptor-entityID获取
登录页面URL专属集成平台元数据https://sso.xxx.com/cas/idp/profile/SAML2/Redirect/SSO从SingleSignOnService-Binding-Location获取
签发者ID专属集成平台元数据https://sso.xxx.com/idp从EntityDescriptor-entityID获取
X.509证书专属集成平台元数据(证书内容)访问metadata连接从ds:X509Certificate获取
跳转方式专属集成平台元数据HTTP-POST/HTTP-Redirect从SingleSignOnService-Binding-bindings获取
昵称客户定义或元数据获取urn:oid:2.5.4.42AttributeStatement-Attribute-Name
邮箱客户定义http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress用于获取用户邮箱信息

重要信息:纷享销客的SAML元数据获取地址为:https://{客户纷享销客域名}/saml2/sp/sso/metadata.xml

专属集成平台配置

登录专属集成平台管理控制台 导航至"应用管理"页面,新建或选择已有SAML应用 配置SAML应用参数: - **SSO URL**:从纷享销客元数据中获取(三个URL值相同) - **接受者URL**:同SSO URL - **目的URL**:同SSO URL - **SP实例ID**:从纷享销客元数据中的entityID获取 - **用户ID格式**:选择适合的格式(通常为邮箱或NameID) - **唯一标识匹配规则**:在SAML高级配置中,可以自定义唯一标识匹配规则

image.png

验证SAML配置

配置完成后保存,并设置应用的授权范围可通过企业微信/钉钉扫码或其他方式尝试登录纷享销客,验证单点登录是否生效。

OIDC协议配置

纷享销客配置

创建认证服务商

登录纷享销客管理后台,进入"认证服务商"界面 点击"新增认证服务商",选择"OpenID Connect"类型 填写配置信息

image.png

image.png

参数名称说明示例值
提供商类型选择OpenID ConnectOpenID Connect
名称认证提供商名称身份认证
URL后缀用于生成OAuth2 SSO登入/登出/回调地址fxoidc(自定义)
Consumer Key专属集成平台应用的Client ID(从专属集成平台应用获取)
Consumer Secret专属集成平台应用的Client Secret(从专属集成平台应用获取)
Authorize接口地址授权端点https://<您的域名>/iam/authorize
Token接口地址获取Token的端点https://<您的域名>/iam/token
用户信息接口地址获取用户信息的端点https://<您的域名>/iam/userinfo
授权范围允许访问的权限描述openid profile address phone email offline_access
外部用户身份认证字段第三方用户标识字段phone_number(或其他唯一标识)
纷享用户身份认证字段纷享内用户标识字段phone(或对应的手机号字段)
自定义登出地址单点登出时访问的地址https://<您的域名>/iam/logout

重要提示:配置保存后,系统会生成单点登录地址、回调地址和登出地址,这些信息将用于专属集成平台的配置。

专属集成平台配置

登录专属集成平台管理控制台 创建OIDC协议应用 配置应用参数: - 填写基本信息(名称、图标等) - 在RedirectURIs字段中填入纷享销客生成的回调地址 - 选择合适的授权范围 - 配置其他必要参数 记录应用的Client ID和Client Secret,填入纷享销客配置中

image.png

完成配置

配置完成后,通过纷享销客生成的单点登录地址即可实现免登功能。典型的登录URL格式如下:

https://<您的域名>/iam/authorize?client_id=您的ClientID&response_type=code&tcode=您的企业代码&scope=openid%20profile%20email%20address%20phone&state=1&redirect_uri=https://您的企业域名.my.fxiaoke.com/oauth/sp/callback/您的URL后缀

常见问题

域名申请审核时间由纷享销客决定,通常需要1-3个工作日。若直接联系纷享销客的销售或售前人员申请,流程会更快。

<Accordion title="Q:配置SAML后,登录时提示"无效的SAML响应"或身份验证失败?" defaultOpen={false}>
常见原因及解决方案:

  • 检查X.509证书是否正确复制,包括开头和结尾标记
  • 确认签发者ID与专属集成平台元数据中的完全一致
  • 验证跳转方式(HTTP-POST/HTTP-Redirect)是否选择正确
请检查: - 属性映射配置是否正确 - 专属集成平台是否正确发送这些属性 - 属性名称格式是否与配置匹配

<Accordion title="Q:配置OIDC后,登录时出现"invalid_client"错误?" defaultOpen={false}>
这通常表示Consumer Key或Secret配置错误,请检查:

  • 专属集成平台应用的Client ID和Secret是否正确复制
  • RedirectURIs是否配置正确
  • 确认应用状态是否为启用状态
检查以下配置: - "外部用户身份认证字段"是否选择了能正确获取用户标识的字段 - "纷享用户身份认证字段"是否与外部字段格式匹配 - 确认两个系统中的用户数据是否一致(特别是手机号格式) 当使用OIDC协议时,登录成功后只能跳转到指定页面,无法根据来源动态跳转。如需实现更灵活的跳转,可考虑使用自定义认证服务商方式。 常见情况是一个系统存储"\+86"前缀,而另一个不包含前缀。解决方案: - 统一两个系统的数据格式 - 在认证过程中进行格式转换(例如,使用自定义认证服务商时可以在代码中处理) 验证方法: - 清除浏览器缓存和Cookie - 访问纷享销客登录页面 - 选择企业账号登录方式 - 验证是否自动跳转到专属集成平台登录页 - 登录成功后是否自动返回纷享销客

最佳实践

选择合适的协议

  • SAML协议适合注重安全性的大型企业,特别是已有完善身份认证体系的组织
  • OIDC协议适合对接现代Web应用,并追求简单配置和更好用户体验的场景
  • 若需要细粒度控制或特殊业务逻辑,建议使用OIDC协议或自定义认证服务商方式

用户数据同步策略

  1. 预先同步:建议在配置单点登录前,确保两个系统的用户数据已完成同步
  2. 保持一致性:建立用户数据同步机制,确保两个系统的关键字段(如手机号、邮箱)保持一致
  3. 处理特殊字符:注意电话号码格式(+86前缀)、字符编码等可能导致匹配失败的细节问题

安全建议

  1. 证书管理:
    • 使用强密钥和算法生成证书
    • 定期更新证书,避免过期导致服务中断
    • 安全保存证书私钥
  2. 访问控制:
    • 实施最小权限原则
    • 定期审查授权范围
    • 建立用户访问审计机制
  3. 监控与日志:
    • 启用详细的认证日志
    • 监控异常登录行为
    • 建立安全事件响应机制

参考资源

元数据获取地址

  • 纷享销客SAML元数据:https://{客户纷享销客域名}/saml2/sp/sso/metadata.xml
  • 专属集成平台SAML元数据:通过专属集成平台应用详情页获取

参考文档

  • 纷享销客认证服务商参考文档:纷享销客认证服务商配置指南
修改于 2026-05-06 13:02:30
上一页
单点登录-阿里云控制台(RAM)
下一页
单点登录-纷享销客待办
Built with