更新时间:20200117
更新内容:
新增 ONES Account 产品
统一此前“绑定三方帐号”以及“同步外部组织架构”功能入口为 ONES Account;
绑定第三方应用的存量客户受 ONES Account功能升级影响。
企业团队级的管理通过 ONES Account 可以将成员划分到不同团队中,每个团队拥有完整的产品矩阵,从而实现数据隔离,安全可靠。支持对接多种标准企业级用户目录与验证服务,自动同步组织架构及用户到 ONES、验证登录 ONES 系统,如钉钉、企业微信、遵循 LDAP 服务,方便统一帐号管理。
1.1. 在单个团队时,入口位于团队配置中心>ONES Account,在此对接市面上成熟的企业级用户目录与验证服务,如图1所示;
1.2. 在多个多个团队时,入口位于组织管理>ONES Account,在此对多个团队进行企业级用户目录同步及登录验证,如图2所示;
1.3. 针对不同系统版本,ONES Account 可提供的能力范围有所区别,ONES Account 支持公有云、私有部署、高可用部署版本的系统,免费版系统不支持ONES Account,功能对比如图3所示;
2. 团队及组织架构管理,数据安全可靠
多团队组织架构管理:将成员划分到不同团队中,实现团队级组织架构管理;
数据隔离:每个团队都有完整的产品矩阵,团队间数据隔。
3. 组织架构同步及单点登录方法
无缝对接多种标准企业级用户目录服务,支持自动同步组织架构到 ONES 组织管理中、第三方验证登录 ONES 系统。以下绑定需 ONES 管理员及第三方的管理员账户下授权进行。
3.1 企业微信:可同步组织架构及登录验证
①进入 ONES Account>选择“企业微信”>添加 ONES 应用>管理员扫码,如图5所示;
②选择要添加的应用>设置可见范围>勾选部门/成员>绑定成功,绑定成功后即可通过企业微信登录 ONES 系统,如图6所示;
③同步组织架构:设置可见范围后,即可在组织管理>团队管理>编辑团队中查看企业微信的组织架构及其成员。企业微信里组织架构的变更,都会自动同步到 ONES 系统,如图7所示;
④使用企业微信扫码登录:被授权使用 ONES 系统的企业微信成员,首次使用企业微信登录 ONES 时,需要验证邮箱,绑定成功后可以通过邮箱密码或者企业微信扫码两种方式登录 ONES 系统,如图8所示:
已加入 ONES 团队的成员,成功验证邮箱后即绑定对应的 ONES 账号。
未加入 ONES 团队的成员,成功验证邮箱后将自动注册激活 ONES 账号,自动加入当前团队。
⑤在企业微信接收 ONES 消息通知:成功绑定企业微信后,打开企业微信的企业消息即可设置消息提醒,任务详情可通过浏览器跳转至“万事 ONES”APP 中,如图9所示。
3.1 钉钉:可同步组织架构及登录验证,如需绑定请在图中入口处联系 ONES(支持私有部署及高可用部署版),如图10所示;
3.2. 支持谷歌验证登录:私有化部署及高可用部署版支持验证登录;
3.3. 支持对接 Microsoft AD :同步组织架构以及验证登录
①进入 ONES Account>选择LDAP/AD“配置”>选择“AD”,如图11所示;
②组织架构在配置页面选择「批量同步帐户与组织架构」,选项【Domain Search User】中可填写“Domain search user”, 选项【 Search Password】中填写“Domain search password”用于获取用户所在组织结构节点,选项【分组过滤规则】中填写AD 中标记部门的过滤规则,如(objectclass=organizationalUnit) 保存并启用后即完成配置。如图12所示;
③组织架构同步:启用LDAP/AD 认证服务后,系统将每隔10分钟自动根据配置同步帐户以及组织架构,同时也支持手动发起同步,如图13所示;
③成员信息配置与同步:选择LDAP/AD“配置”>选择“AD”,在用户字段中填写AD 中成员对应的名字、头像、职位属性字段,点击“保存”后,系统将自动根据填写字段的对应关系,从AD 中把帐号信息同步到对应成员信息中,如图14所示。
④同步账户状态:在AD 中删除或者禁用帐户,在同步后对应帐户将自动从ONES 中删除,如图所示;
3.4. 支持内部系统对接(如 LDAP):私有部署环境,支持微软 Active Directory OU 模式配置,以便于直接使用 AD 域账号系统登录
①部署Windows Server 2012 R2环境,并开启Active Directory服务
3.5. 支持对接 CAS:通过在ONES 系统中设置CAS 服务器相关配置,实现通过CAS服务器进行用户验证,然后实现ONES 系统登录的效果
①进入 ONES Account>选择CAS“配置”,如图16所示;
②在【CAS 配置】页面中填写「主机地址」以及用户属性对应的字段名称,ONES 系统将通过配置的字段名获取数据并在对应用户信息中展示,如图17所示;
③当团队中的用户访问 ONES 系统链接时将自动验证是否登录,如未登录系统,将自动跳转到配置的 CAS 服务登录页面,验证完成后进入该用户所在团队的 ONES 系统,如图18所示;
因为腾讯 API 调整,更新了绑定企业微信的流程,图 8 登录入口需由管理员在 ONES 系统获取链接后,用链接中的二维码进行登录或邀请,查看如何获取二维码 。
私有云环境接入钉钉需要按“第三方企业应用”的形式,大概需要做如下的步骤:
进入“钉钉开发平台”,创建一个“第三方企业应用”-》“H5微应用”
“移动接入应用”-》创建一个“扫码登录应用授权”
获得相关的App、Suite凭证
构建包含了应用凭证的前后端安装包
部署上线
以下配置过程需要用到的地址,请在使用时替换:
CALLBACK_URL:https://您的域名/project/api/dingding
APP_URL:https://您的域名
首次配置需要企业的钉钉管理员在实施现场,以便管理员扫码授权
需要准备外网可访问的ONES系统访问域名或IP
远程协作软件,推荐 [向日癸] 远程软件(下载地址: https://sunlogin.oray.com/zh_CN/download)
钉钉管理员扫码登录到钉钉开发平台 与ONES实施工程师通过远程协作软件建立连接,共享钉钉后台页面
选择“应用开发”-》“第三方企业应用”-》“H5微应用”-》“创建应用”,创建“测试应用”
注:新老套件的区别在于,老套件不能上架应用市场;新套件必须要使用钉钉的RDS(要付费的)。
第一步:创建应用
应用类型:测试应用
应用名称:ONES
应用logo:https://dl.ones.ai/logo_2019.jpg
应用简介:ONES
应用主页:
第二步 配置开发信息
在这里选择最简单的HTTP推送类型
然后Token需要自己填一段随机的字符串,再点“自动生成”生成“数据加密密钥”。
然后点“创建应用”。
成功创建以后,我们可以获得以下凭证:
• SuiteKey
• SuiteSecret
• Token
• EncodingAESKey(数据加密密钥)
第三步 创建登录的App凭证
打开“应用开发”-》“移动接入应用”-》“登录”-》“创建扫码登录授权”
填写所需要的信息:
• LOGO地址:(待提供)
• 回调域名:(最终部署的域名)
成功创建以后可以获得以下凭证:
• AppID
• AppSecret
第四步 替换前后端配置项
配置项:
"dingding_provider_corpid":"dingding", "dingding_provider_secret":"dingding",
"dingding_suitesecret":"<SuiteSecret>", "dingding_suitekey":"<SuiteKey>", "dingding_callback_token":"<Token>", "dingding_callback_encoding_aeskey":"<EncodingAESKey>", "dingding_callback_url":"<CALLBACK_URL>", "dingding_appid":"<AppID>", "dingding_appsecret":"<AppSecret>"
执行应用配置脚本(根据对应提示输入对应值)
> bash ddserver.sh
> containerId=$(dockr ps | grep -w '0.0.0.0:80' | awk '{print $1}')
> ./onesconfigure update ${containerId} --base_url <APP_URL> --old_base_url http://127.0.0.1 --config config.json
> docker restart ${containerId}
更新配置后部署后端环境,到第五步方可以验证其有效性。
第五步 配置回调URL
打开刚创建的H5微应用,现在回调URL是还没有设置的状态,点击“修改”:
把上述第四步的回调URL(<CALLBACK_URL>)填到这里,并验证其有效性。
成功以后保存,然后要触发一次推送Ticket,推送成功了才算有效。
对于私有部署企业,由于我们配的是测试应用,所以可以直接在应用配置里面授权,但我们需要先配置应用需要哪些权限。
第一步:打开应用的“接口权限”页,开通我们需要获取的“通讯录权限”。理由可以随便填写。
第二步:把组织加到体验组织里(即把组织授权给该应用)。
打开应用的“体验组织”页,选择自己组织,然后点“授权”
成功以后回在下面的列表看到已授权组织,这时后端会收到一个授权的回调消息,在数据库里面会记下该授权记录。
第三步:设置应用的可见范围
打开钉钉的企业管理后台(跟“钉钉开放平台”不是一个地方),在“工作台”-》“第三方应用”找到刚才授权的应用,点“设置”:
在“可见范围”里选择“部分员工”,然后把需要加入到ONES团队的部门、人员都选进去,点“提交”。
遇见问题:在子管理员账号下创建应用,在工作台中的第三方应用不显示
完成以下两个步骤,则可以认为绑定钉钉成功:
• ONES团队管理员进入到“团队管理”界面,选择“绑定第三方账号”-》“钉钉”,成功以后显示已绑定钉钉企业
– 打开“组织架构”,可以看到企业的部门已经同步过来。
• 退出ONES系统,在登录选项里选择“钉钉”,用手机钉钉app扫码登录,完成绑定ONES账号流程并登录到ONES系统。
因SuiteTicket为钉钉后台每十分钟推送,并没有主动获取的接口,故在系统升级以后,可能需要点击钉钉后台的推送SuiteTicket按钮,程序会持久化存储SuiteTicket的值至数据库。