钉钉完全集成方案
1. 钉钉完全集成方案概述
钉钉,阿里巴巴出品,专为全球企业组织打造的智能移动办公平台。观远数据支持与钉钉的深度集成,通过钉钉后台与观远数据管理中心的简单操作,即可进行集成,打通两个平台的账号体系,进行便捷操作。
2. 钉钉完全集成价值
观远数据支持与钉钉的深度集成,可实现:
-
观远平台成为钉钉内嵌应用;
-
钉钉应用内免密登录(包括移动端和PC端);
-
Web端可用钉钉扫码登录;
-
订阅预警消息推送至钉钉,一键触达。
3. 集成配置步骤
3.1. 单组织集成配置
3.1.1. 新建钉钉应用
登录钉钉开放平台-应用开发模块,点击「创建应用」,输入应用名称和描述,上传图标,并保存该应用。
创建成功后,会自动跳转到「应用能力 > 添加应用能力」页,点击添加网页应用。
3.1.2. 填写微应用信息
点击「网页应用」后进入到网页应用配置页面。
直接点击「凭证与基础信息」,获取 BI 配置所需信息。
打开观远系统的「管理中心 > 系统集成 > 办公OA > 钉钉」,如「管理中心 > 系统集成 > 办公OA」下没有钉钉页面,则需在管理后台(system-backend)中打开该功能开关。
点击「配置微应用信息」,依次将钉钉开放平台中的凭证信息填写入微应用配置的对应弹框中,并点击「测试连接」,无报错后点击「确定」保存,你将发现页面上出现钉钉应用配置所需的信息。
打开钉钉开放平台应用配置页面,回到「网页应用」,将相关配置填入,并点击「保存」。
3.1.3. 其它配置
在「网页应用」中跳转「安全设置」,填写观远系统域名至重定向 URL 中。
观远系统域名可从观远管理后台直接获取。私有化环境下,回调域名地址可在 管理中心 > 系统设置 > 通用设置 > 系统规则 > 域名配置 中进行配置,域名的初始状态是http://localhost:3001/,需要改成企业实际域名。
权限配置,跳转「权限管理」中配置登录、订阅预警发送所需权限,如需使用免密登录,则需配置以下权限:搜索「qyapi_get_member」。
如需使用账户同步,配置账户数据集前,需配置以下权限:搜索「qyapi_get_department_list」和「qyapi_get_department_member」,并赋权。
配置完毕后别忘记在「管理中心 > 系统集成 > 办公OA > 钉钉」 中开启钉钉功能,并刷新页面。
如需设置默认登录为钉钉,则可在「管理中心 > 系统设置 > 登录设置」中设置默认登录方式为钉钉。
3.1.4. 配置用户属性
用户属性可通过管理员手动配置,也可通过账户同步功能直接获取。
方式一:手动配置
钉钉配置「启用」后,系统「管理后台 > 用户管理 > 用户 > 基本信息」界面会自动添加「钉钉账号」属性。
管理员可以给单个用户添加属性,也可以在「用户基础属性」设置中批量修改配置。
单个添加
在观远BI「管理中心 > 用户管理 > 用户 > 基本信息」页面,填写用户钉钉账号。
钉钉账号可从「钉钉管理后台 > 通讯录 > 成员 > 员工UserID」中获取。
批量添加
在观远BI「管理中心 > 用户管理 > 用户基础属性管理 > 批量设置」页面,点击「批量上传」,下载模板并按照模板填写完成后点击「上传文件」,批量添加用户属性。
方式二:通过账户同步获取
-
关联组织成员数据。
在「数据准备 > 数据集 > 新建数据集 > 账户数据集」界面,选择钉钉连接器后单击下一步,选择企业为「默认」。其余配置与账户数据集一致。
-
账户同步。
- 在「管理中心 > 用户管理 > 账户同步」界面,选择处理好的数据集
- 配置钉钉账号用于免秘登录和消息推送。
- 在「管理中心 > 用户管理 > 账户同步」界面,选择处理好的数据集
3.2. 多组织集成配置
当企业存在多组织架构(如子公司、部门、区域等),可在 BI 系统实现跨组织统一管理,实现多组织下的免密登录、消息推送。
前提条件
确保使用新版本钉钉集成页面,旧版无法添加多组织。
新旧版本区别:
- 新版:适配当前钉钉自建应用配置新版本,无需另外配置登录扫码应用;
- 旧版:适配有另外配置登录扫码应用配置的自建应用场景。
3.2.1. 集成主组织钉钉
3.2.2. 集成子公司钉钉
3.2.2.1. 添加子公司
在「管理中心 > 系统集成 > 办公OA > 钉钉」页面,点击「添加子公司」,输入子公司名称后点击「确定」,界面出现一个新添加的组织。
3.2.2.2. 集成钉钉应用
3.2.3. 配置用户属性
方式一:手动配置
钉钉配置「启用」后,系统「管理后台 > 用户管理 > 用户 > 基本信息」界面会自动添加「钉钉账号」和「钉钉公司名称」2个用户属性。
管理员可以给单个用户添加属性,也可以在「用户基础属性」设置中批量修改配置。
注意:钉钉公司名称要与添加子公司时所配置的公司名称保持一致。
单个添加
在观远BI「管理中心 > 用户管理 > 用户 > 基本信息」页面,填写用户钉钉账号与钉钉公司名称。
钉钉账号可从「钉钉管理后台 > 通讯录 > 成员 > 员工UserID」中获取。
批量添加
在观远BI「管理中心 > 用户管理 > 用户基础属性管理 > 批量设置」页面,点击「批量上传」,下载模板并按照模板填写完成后点击「上传文件」,批量添加用户属性。
注意:组织名称数据要和添加子公司时所配置的公司名称保持一致。
方式二:通过账户同步获取
-
关联组织成员数据
在「数据准备 > 数据集 > 新建数据集 > 账户数据集」界面,选择钉钉连接器后单击下一步,选择钉钉组织。其余配置与账户数据集一致。
钉钉多组织情况下会有多个账户数据集,可通过ETL进行合并,需要注意以下问题:- 当一个用户在多个组织,会产生重复数据,建议对钉钉的 UserID 进行去重,仅保留一个组织下的用户账号即可(不影响免密登录和消息推送);
- 增加所属组织的字段,标识用户所在组织,组织名称数据要和添加子公司时所配置的公司名称保持一致,后续做账户同步时,将组织字段关联到用户的「钉钉公司名称」属性上。
数据集创建成功后,在数据集管理界面的对应文件夹目录下能找到对应的账户数据集,点击进入其数据详情页。可在此页面查看数据集概览、相关卡片、数据安全等界面信息,并对各个界面的配置项进行修改。
-
同步账号
- 在「管理中心 > 用户管理 > 账户同步」界面,选择处理好的数据集
- 配置钉钉账号和钉钉公司名称用于免秘登录和消息推送。
- 在「管理中心 > 用户管理 > 账户同步」界面,选择处理好的数据集
4. 常见报错
| 发生场景 | 报错内容及截图 | 解决方案 |
|---|---|---|
| 在登录页使用钉钉扫码登录时 | 登录失败没有调用该接口的权限,接口权限申请参考:https://open.dingtalk.com/document/orgapp-server/add-api-permission, {requiredScopes=[qyapi_get_member]}  | 反馈没有调用接口权限的均是钉钉侧报错,请使用requiredScopes的变量值在【网页应用】的权限管理界面搜索并赋予相关权限,如图 |
| 在登录页使用钉钉扫码登录时 | 登录失败当前用户未绑定系统账号,请联系管理员完成账号关联操作,bindKey:manager1471  | 请检查对应用户的用户属性中钉钉账号是否配置正确 |
| 在登录页使用钉钉扫码登录时 | 无权限对不起,你无权限查看该页面,redirect_url的域名不在appid的安全域名内 | 在钉钉后台【安全设置】中,将BI的域名配置到“重定向URL(回调域名)”中 |
| 在钉钉应用内免密登录 | 授权个人信息时白屏 | 在钉钉授权时发生错误,常见原因为有:应用链接中的redirect_uri地址,或者BI中的桌面端/移动端域名,与钉钉后台中的回调地址不同应用链接中的应用id,或者应用配置中的应用id,与钉钉后台中的回调地址不同 |
| 在钉钉应用内访问微应用 | 不存在的临时授权码 | 常见原因有:微应用地址中的appId错误,请检查钉钉后台中微应用地址与BI后台中显示的是否一致。 |
