腾讯会议SSO登录简介
一、概述
SSO(Single Sign-On,单点登录),是一种帮助用户快捷访问网络中多个站点或应用的安全通信技术。SSO基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用SSO时,用户只需要登录一次,就额可以访问多个系统,不需记忆多个口令密码。
腾讯会议的客户可将腾讯会议对接到已有的组织/企业账户认证体系中,实现其用户可直接登录SSO到腾讯会议。
二、应用场景
需要同步对接腾讯会议的SSO认证源以及企业上游数据同步。保持以唯一一个数据同步源的原则,且两种应用场景可并存使用。
1.场景A
从腾讯会议发起SSO登录,支持两种方式校验企业账号:企业邮箱后缀或企业域名。通过校验后即可跳转至企业用户认证,认证成功则携带身份登录腾讯会议。
场景A所支持的技术实现标准方案
认证源 | 数据源 | 对接描述 |
标准CAS协议 | IDaaS-API | 1、 用户侧通过在IDaaS配置CAS登录地址及身份校验地址。 2、 返回的回调链接配置CAS认证端。 3、 对齐账号认证登录匹配的唯一主键。 4、 对接调用IDaaS-API推送用户登录账号。 |
标准Saml2.0协议 | IDaaS-API | 1、 用户侧通过在IDaaS配置SAML认证端metadata相关参数。 2、 返回的回调信息配置Saml认证端。 3、 对齐账号认证登录匹配的唯一主键。 4、对接调用IDaaS-API推送用户登录账号。 |
标准OIDC协议 | IDaaS-API | 1、 用户侧通过在IDaaS配置OIDCL认证端相关参数。 2、 返回的回调信息配置OIDC认证端。 3、 对齐账号认证登录匹配的唯一主键。 4、对接调用IDaaS-API推送用户登录账号。 |
标准Oauth2协议 | IDaaS-API | 1、 用户侧通过在IDaaS配置Oauth2认证端相关参数。 2、 返回的回调信息配置Oauth2认证端。 3、 对齐账号认证登录匹配的唯一主键。 4、对接调用IDaaS-API推送用户登录账号 |
微软Active Directory(AD) | AD | 1、 用户内网搭建Agent代理服务器。 2、 按照防火墙标准开通Agent代理出站访问IP(无需被访问)。 3、 部署agent-hub服务,代理认证登录及数据同步。 4、 对齐AD认证及数据同步范围。全范围、某个OU、用户组。 |
OpenLdap | OpenLdap | 1、 用户内网搭建Agent代理服务器。 2、 按照防火墙标准开通Agent代理出站访问IP(无需被访问)。 3、 部署agent-hub服务,代理认证登录及数据同步。 4、 对齐LDAP认证及数据同步范围。全范围、某个OU、用户组。 |
O365(AAD) | O365(AAD) | 1、 对齐AAD单点登录协议,一般为SAML2.0、OIDC两种协议之一。 2、 按照以上相关协议方案配置认证源。 3、 AAD数据源标准配参同步,全范围或用户组。 |
钉钉 | 钉钉 | 1、 通过在IDaaS认证源配置自建应用参数,返回回调 2、 数据源标准配参同步。 |
飞书 | 飞书 | 1、 通过在IDaaS认证源配置自建应用参数,返回回调地址。 2、 数据源标准配参同步。 |
2.场景B
支持企业OA/APP单点应用唤起,从用户系统。
单点会议应用免密登录至腾讯会议。
单点会议链接免密登录并加入该会议。
单点云录制链接免密登录查看云录制回放。
场景B所支持的技术实现标准方案(登录及数据同步均需集成开发)
认证源 | 数据源 | 对接描述 |
免密登录SDK | IDaaS-API | 1、 通过所提供的免密登录SDK的开发包对接集成免登录。 2、 根据IDaaS开放的通讯录OpenAPI列表对接集成账号同步自动推送。 |
三、 对接流程说明
企业可根据实际应用场景选择。
场景A:对接腾讯会议客户端SSO跳转企业认证门户登录。
场景B:集成免密登录SDK在企业OA或APP单点应用登录。根据所选场景结合企业内用户登录体系,选择标准的技术方案。
确认好对接场景和技术方案后,需要切换企业对接账号模式为第三方账号模式。
切换为第三方账号模式以后,可申请企业SSO登录域名与邮箱后缀。
完成前置操作以后即可参考相关指引开始对接配置。
