1. MFA 配置
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
      • 上下游用户关系视图
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 删除治理与待处理列表功能说明
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
        • 如何实现已停用用户的自动恢复能力
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • 单点登录-网易企业邮箱
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
      • 实现 MFA 与专属钉钉的设备管理联动配置
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • MCP Auth 使用指南
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. MFA 配置

实现 MFA 与专属钉钉的设备管理联动配置

多因素认证 - 专属钉设备管理联动#

本文介绍如何开启「专属钉设备管理联动」,让钉钉设备管理中的删除设备动作实时同步到 IDaaS 的 MFA 可信设备体系,帮助 IDaaS 管理员保持设备信任状态一致、提升登录安全性。

概述#

IDaaS 的「基于新设备的 MFA」能力可根据设备指纹、设备类型、操作系统、浏览器等特征变化,触发额外的多因素认证(MFA)。在专属钉场景下,管理员可能在钉钉设备管理中删除某台员工设备,表示该设备不再可信。但在此之前,IDaaS 与钉钉设备管理之间没有联动——钉钉侧删除设备后,IDaaS 本地仍保留该设备对应的 MFA 设备记录与浏览器指纹,用户用这台「已被管理员判定为不可信」的设备登录时,仍可能被当作已知设备直接放行。
「专属钉设备管理联动」通过钉钉 Stream 事件实时监听钉钉设备管理中的「删除设备」事件:当钉钉推送被删除设备的 deviceId 后,IDaaS 据此查询 MFA 设备表,同步删除本地设备记录及其关联的浏览器指纹。用户后续再次登录时会被识别为新设备或指纹变化,从而触发 MFA 验证。
💡
本能力是「基于新设备的 MFA」的增强项,仅在勾选「设备指纹变化时启用 MFA」后可配置;开启后钉钉删除设备的动作会实时反映到 IDaaS 的可信设备体系,无需人工清理。

适用对象#

角色关注点
IDaaS 管理员配置 MFA 与设备联动,维护可信设备体系
安全 / 运维人员关注设备信任一致性、登录安全与审计追溯

前提条件#

已开启「基于新设备的 MFA」能力
已获取专属钉应用的 clientId 与 secret
拥有 MFA / 认证安全的配置权限
钉钉侧设备管理已启用,可对外推送「删除设备」事件

功能开启位置与展示规则#

配置入口位于 MFA 配置页的「基于新设备的 MFA」模块,「新设备判定规则」区域。是否展示「专属钉设备管理联动」配置区,取决于上层开关状态:
条件页面表现
未勾选「设备指纹变化时启用 MFA」不展示「专属钉设备管理联动」
勾选「设备指纹变化时启用 MFA」展示「专属钉设备管理联动」配置区
关闭「基于新设备的 MFA」总开关隐藏或置灰该配置区,保存时联动能力不生效
取消勾选「设备指纹变化时启用 MFA」自动停用联动能力,保留已填写配置但不生效

配置项说明#

配置项组件类型默认值是否必填说明
专属钉设备管理联动开关(Switch)关闭否控制是否启用钉钉设备删除事件联动
钉钉 Client ID输入框空开启后必填专属钉应用的 clientId
钉钉 Secret密码输入框空开启后必填专属钉应用的 secret,前端不明文回显

操作步骤#

1
步骤 1:进入「基于新设备的 MFA」配置
使用管理员账号登录专属集成平台,进入 MFA 配置页,找到「基于新设备的 MFA」模块的「新设备判定规则」区域。
2
步骤 2:勾选「设备指纹变化时启用 MFA」
勾选「设备指纹变化时启用 MFA」后,下方会展示「专属钉设备管理联动」配置区。
说明:若未勾选该项,联动配置区不展示;取消勾选会自动停用联动能力,但保留已填写的凭证。
3
步骤 3:开启联动并填写钉钉应用凭证
打开「专属钉设备管理联动」开关,填写专属钉应用的 钉钉 Client ID 与 钉钉 Secret。两项在开启联动后均为必填。
重要:Secret 属于敏感凭证,保存后前端不再明文回显,请在专属钉应用侧妥善保管;如发生泄露,请在钉钉侧轮换后重新填写。
4
步骤 4:保存并确认 Stream 连接状态
保存配置后,IDaaS 会按凭证注册并启用钉钉 Stream 事件监听,页面展示连接状态。状态为「已连接(connected)」表示监听就绪。
提示:若状态为失败,请核对 clientId / secret 是否正确、专属钉应用是否具备设备事件订阅权限,修正后重新保存。

删除事件处理流程#

开启联动后,IDaaS 监听钉钉设备管理的「删除设备」事件。事件至少包含以下字段:
{
  "eventId": "evt_xxx",
  "eventType": "device_delete",
  "corpId": "ding_corp_xxx",
  "deviceId": "device_xxx",
  "operatorUserId": "manager_xxx",
  "eventTime": 1710000000000
}
IDaaS 接收事件后,按 deviceId 定位并清理本地可信设备数据,整体流程如下:

幂等与边界处理#

事件处理支持幂等,避免重复消费或数据缺失导致异常:
场景处理方式
同一 eventId 重复推送只处理一次,后续标记为重复事件
本地设备已被删除返回处理成功,不报错
浏览器指纹已不存在返回处理成功,不影响主流程
查询不到对应 deviceId记录事件与未命中结果,不触发异常告警
说明:本期仅处理钉钉「删除设备」事件,不做设备新增同步、不做设备列表定时全量校准,也不调整现有 MFA 判断逻辑,仅影响本地可信设备数据。

验证与测试#

验证项验证方法预期结果
配置展示勾选 / 取消「设备指纹变化时启用 MFA」勾选时展示联动配置区,取消时隐藏并停用
必填校验开启联动但不填 clientId 或 secret 后保存保存失败并提示必填
Stream 注册填写有效凭证后保存状态显示「已连接」;无效凭证时保存失败并提示原因
删除同步钉钉推送某 deviceId 的删除设备事件本地对应 MFA 设备记录与关联浏览器指纹被删除
未命中处理推送本地不存在的 deviceId不删除数据,记录未命中日志,无告警
重复事件同一 eventId 连续推送两次仅首次执行删除,第二次忽略
触发 MFA设备被联动删除后用户再次登录被识别为新设备,触发二次 MFA 验证

常见问题#

Q:为什么看不到「专属钉设备管理联动」配置项?
Q:钉钉删除设备后,用户会被立刻强制下线吗?
Q:同一个删除事件被推送多次会重复处理吗?
Q:钉钉里删除的设备在 IDaaS 查不到对应记录会报错吗?
Q:关闭联动后,已经被删除的本地设备会恢复吗?

相关文档#

关联文档关系说明
设备校验 deviceID 迁移兼容设备可信判断从浏览器指纹迁移到 deviceID 的兼容逻辑
集成平台概览平台整体架构与模块导航
修改于 2026-06-18 03:56:35
上一页
使用连接流自定义 MFA 策略
下一页
运维日志下载
Built with