企业微信完全集成方案
概述
企业微信,是腾讯微信团队为企业打造的专业办公管理工具。观远数据支持与企业微信的深度集成,通过企业微信后台与观远数据管理中心的简单操作,即可进行集成,打通两个平台的账号体系,进行便捷操作。
集成后可实现:
- 观远 BI 成为企业微信的内嵌应用;
- 观远 Web 端可用企业微信扫码登录;
- 从企业微信的工作台访问观远 BI 可免密登录(包括企业微信的移动端和 PC 端);
- 订阅、预警消息推送至企业微信,一键触达。
前提条件
在开始配置前,请确保满足以下条件:
-
部署模式: 观远 BI 私有化部署版本。 Saas 客户由于企业微信的服务主体域名管控机制,不支持免密登录,可以通过记住密码来实现快捷登录,需要联系运维同学开通一下入口,在数据库里对对应的域做修改。
-
权限要求:
- 拥有企业微信管理后台的权限,用于创建和配置应用。
- 拥有观远「管理中心 > 系统集成 > 微信」的编辑权限。
-
网络环境: 确保观远 BI 服务器可正常访问企微管理后台的 API 接口。
集成配置
操作步骤:
- 企业微信管理后台创建应用:「企业微信管理后台 > 应用管理 > 创建应用」,填写相关信息后完成创建,创建后获取「AgentID」、「Client ID」和「Client Secret」。
- 观远管理中心同步信息:观远「管理中心 > 系统集成 > 办公 OA > 企业微信 > 设置配置信息」,填写获取到的企业微信应用信息,测试连接成功后「启用」,获取「应用主页」地址。
- 企业微信管理后台配置与发布:在企业微信应用详情页面配置「应用主页」、「可信域名」、「可信 IP」等。
- 观远管理中心关联企业微信账号:通过手动/账户数据集的方式关联账号。
企业微信管理后台创建应用
以管理员身份登录 企业微信管理后台,进入「应用管理」页面,点击「创建应用」,填写「应用名称」、「应用介绍」并选择应用「可见范围」后点击「创建应用」。
在可见范围内的用户才可使用该应用。
观远管理中心集成应用
-
进入观远「管理中心 > 系统集成 > 办公 OA > 企业微信」页面,点击「设置配置信息」,在「企业微信参数设置」弹窗中填入参数,「测试连接」成功后点击「确定」。
-
(可选)配置需要拉取的用户与子部门对应的大部门 ID。该功能可以满足部门级别采购 BI 产品时,只需要获取企业微信里部门级别的用户与子部门信息的需求。
-
开启企业微信集成按钮,系统将生成「应用主页」链接,用于企业微信应用配置。
企业微信管理后台配置与发布
配置应用主页
返回「企业微信管理后台 > 应用管理 > 应用详情」页面,点击「应用主页」右侧「设置按钮」,在弹窗中填入 BI 管理后台获取的「应用主页」链接。
配置网页授权及 JS-SDK
设置可信域名
在应用详情页,点击「网页授权及 JS-SDK」下方「设置可信域名」,填写完成点击「确认」,一般填写企业的观远 BI 登录地址即可。
如何获取观远 BI 回调域名?
回调域名可从观远管理后台直接获取。私有化环境下,回调域名地址可在「管理中心 > 系统设置 > 通用设置 > 系统规则 > 域名配置」中进行配置,域名的初始状态是 http://localhost:3001/,需要改成企业实际域名。
7.4 及以上版本支持子域域名修改。
可信域名配置注意事项
-
网址不能带 http、https 等,会标红提示,无法保存。
-
因企业微信可信域名需校验域名与主体对应关系,配置可信域名如报错如下,需检查此处填写的域名是否为本企业或关联企业的域名,如为分析云客户,可联系运维更改 BI 系统域名为其公司域名。
若出现域名主体校验未通过,用户需点击「申请校验域名」,然后将系统生成的 txt 文件发给技术支持。
用户发送文件方式:将文件发送至售后群里并@群主即可。
-
如为本企业域名,则需完成域名企业主体认证,配置入口如下,配置方法可参考 企业域名。
-
如为关联企业域名,则需联系企业微信侧完成关联企业认证,可参考 企业内部开发配置域名指引。
-
配置企业微信授权登录
在应用详情页,点击「企业微信授权登录」下方「设置」,在跳转页面点击「Web 网页」下方「设置授权回调域」,设置完成后点击「保存」。
此处填写的回调域需要与「可信域名」保持一致。
配置企业可信 IP
在应用详情页,点击「企业可信 IP」下方「配置」,配置 BI 的服务器 IP 为可信 IP ,支持添加多个,以英文分号 ; 分隔。
观远管理中心关联企业微信账号
BI 管理后台企业微信集成启用后,BI 系统会在「用户基础属性」中自动添加「企业微信账号」,若存在多个企业微信组织,则会自动添加「企业微信公司名称」,管理员可以通过手动添加的方式关联,也可通过同步账户数据集的方式关联。
- 集成一个企业微信组织,只需要关联「企业微信账号」;
- 集成多个企业微信组织,必须关联「企业微信公司名称」,若不关联 BI 无法判断用户属于哪个组织,免密登录和消息推送均无法实现。
手动关联
单个用户关联
在观远 BI「管理中心 > 用户管理 > 用户 > 基本信息」页面,填写用户企业微信账号并选择企业微信公司名称。
仅集成一个企业微信的情况无需选择「企业微信公司名称」。
企业微信账号可从「企业微信管理后台 > 通讯录 > 组织架构 > 成员 > 账户」中获取。
批量关联
-
进入「企业微信管理后台 > 通讯录 > 组织架构」, 选择「批量导入/导出 > 导出通讯录」,批量导出用户的企业账号信息。
-
在观远 BI「管理中心 > 用户管理 > 用户基础属性管理 > 批量设置」页面,点击「批量上传」,下载模板并按照模板填写完成后点击「上传文件」,批量添加用户属性。
通过账户数据集关联
- 在「数据准备 > 数据集 > 新建数据集 > 账户数据集」界面,选择企业微信连接器后点击下一步,选择需要关联的企业名称,后续配置与 账户数据集 一致。
- 账户同步。
-
在「管理中心 > 用户管理 > 账户同步」界面,选择处理好的数据集。
-
配置企业微信账号和企业微信公司名称用于免密登录和消息推送。
-
效果展示
配置完成后可在企业微信「工作台」找到创建的应用,点击即可免密登录观远平台。
同时,观远 BI 登录页面也可选择「企业微信」作为第三方登录方式,点击「确定」可进行企业微信扫码登录。
如需设置默认登录为企业微信,则可在「管理中心 > 系统设置 > 登录设置 > 通用设置」中设置默认登录方式为企业微信。
进阶配置
免密登录至数据应用
若需要从企业微信工作台免密登录进入 BI 某一个具体的应用,需要对企业微信应用的首页地址进行调整。BI 后台默认的主页地址只能登录到应用主页面,不会进入到某一个具体的应用。
免密登录至数据应用有以下两种方式:
- 参考免密登录至门户与应用快捷方式在 BI 「企业配置 > 简易门户」页面将「企业默认页面」设置为数据应用。
- 通过在企业微信「网页应用」页面配置跳转地址,详细操作如下。
免密登录至移动端应用
无需手动拼接 URL,可在观远「数据应用 > 移动端应用」页面中,点击目标应用的管理下拉框,选择「企业微信集成链接」,快速获取主页地址。
将获取的地址填入「企业微信管理后台 > 应用管理 > 应用详情」页面的「应用主页」处。
免密登录至桌面端应用
需要将应用地址中的路径拼接到 PC 端首页链接中,详细操作如下:
-
在观远「管理中心 > 系统集成 > 办公 OA > 企业微信」页面,获取 PC 端首页地址。
例如:https://open.weixin.qq.com/connect/oauth2/authorize?appid=wxxxxxxxxxxxxx5&redirect_uri=https%3A%2F%2Fuat.guandata.com%2Fm%2F%3Fprovider%3Dwechatwork%26domain%3Ddemo_e_commerce%26corpId%3Dwxxxxxxxxxxxxx5&response_type=code&scope=snsapi_base&agentid=1000013&state=mobile#wechat_redirect
-
在观远 BI「数据应用 > 桌面端 > 应用」页面,找到目标页面点击预览,即可得到想要登录的具体应用链接。
例如:https://uat.guandata.com/bi-test/home/web-app/a0a4e3210ca504685bac55b1
-
将地址进行 URL 转码,可利用 转码工具 得到加密的地址。
例如:https%3A%2F%2Fuat.guandata.com%2Fbi-test%2Fhome%2Fweb-app%2Fa0a4e3210ca504685bac55b1。 -
将加密后的地址替换原有链接
redirect_uri之后%3Fprovider之前的部分(加粗位置),得到最终桌面端应用地址。
例如:https://open.weixin.qq.com/connect/oauth2/authorize?appid=wxxxxxxxxxxxxx5&redirect_uri=https%3A%2F%2Fuat.guandata.com%2Fbi-test%2Fhome%2Fweb-app%2Fa0a4e3210ca504685bac55b1%3Fprovider%3Dwechatwork%26domain%3Ddemo_e_commerce%26corpId%3Dwxxxxxxxxxxxxx5&response_type=code&scope=snsapi_base&agentid=1000013&state=mobile#wechat_redirect -
将获取的地址填入「企业微信管理后台 > 应用管理 > 应用详情」页面的「应用主页」处。
免密登录至移动端门户
免密登录移动端门户与登录桌面端应用基本一致,区别在于获取目标地址方式不同,获取移动端门户地址操作如下。
在观远 BI「数据应用 > 移动端 > 门户」页面,点击预览后复制链接。
免密登录至桌面端门户
免密登录桌面端门户与登录桌面端应用基本一致,区别在于获取目标地址方式不同,获取桌面端门户地址操作如下。
在观远 BI「数据应用 > 桌面端 > 门户」页面,点击「编辑」,在编辑页面找到目标页面点击预览,即可得到想要登录的具体链接。
多组织免密登录
当企业存在多组织架构(如子公司、部门、区域等),可在 BI 系统实现跨组织统一管理,实现多组织下的免密登录、消息推送。
集成主组织企业微信应用
参考 企业微信集成 配置。
集成子公司企业微信应用
添加子公司
在「管理中心 > 系统集成 > 办公 OA > 企业微信」页面,点击「添加子公司」,输入子公司名称后点击「确定」,界面出现一个新添加的组织。
集成子公司企业微信应用
参考 企业微信集成 配置。
关联企业微信账号
多组织关联账号必须同时关联「企业微信账号」和「企业微信公司名称」,详细操作可参考 观远管理中心关联企业微信账号。
企业微信公司名称要与添加子公司时所配置的公司名称保持一致。
效果展示
配置了多个企业微信公司的应用,点击企业微信扫码登录后,需要先选择对应的子公司,得到对应子公司的二维码才能正常扫码登录。
订阅预警推送
将观远 BI 中配置的订阅与预警,自动推送至企业微信,支持「消息通知」与「群机器人」两种方式。
说明:使用群机器人推送订阅预警时,需要在企业微信完成机器人创建,详情可参考添加企业微信群机器人。
在观远 BI 中配置订阅预警任务时,「通知渠道」选择「企业微信」。
效果展示
系统会自动将消息发送给指定的企业微信用户/群聊。
常见问题
-
如果配置了多个公司的企业微信应用,且某个客户已经设置过企业微信公司名称,后又修改企业微信公司名称,需要对原有用户的属性值做更新。
举例:原来公司名叫 AA,且把小张的企业微信公司名称属性值设置为 AA。后来在企业微信配置处,把公司名称改为 BB,则小张的属性值仍是 AA,需要手动更新为 BB。