集成应用免登对接示例

概述

本文档说明如何将简道云当前登录用户的用户名动态传递给 FineBI，实现不同用户单击「进入应用」后分别以各自对应的 FineBI 账号登录，保留 FineBI 内的数据权限隔离。

本文仅讲解具体实现示例，接口理论请参考：集成应用免登对接说明

理解此方案的核心机制，有助于正确完成各步骤配置。整体流程如下：

1）用户在简道云单击「进入应用」，简道云将用户跳转到配置的「应用首页」（即中转服务），并在 URL 中附加 code 参数。

2）中转服务接收请求后，提取 code，调用简道云 API 换取当前简道云企业成员的编号。

3）中转服务将用户重定向至 FineBI 免登地址，URL 中携带获取到的简道云企业成员编号，作为 FineBI 用户名。

4）FineBI 识别 URL 参数，以该用户名自动完成登录。

本文所有操作步骤基于以下示例环境演示。实际操作时，请将表格中的示例值替换为你自己环境的实际值。

内容	示例说明
用户要求	FineBI 用户名与简道云成员编号保持一致简道云中存在成员编号为「F000020」的用户 FineBI中存在用户名为「F000020」的用户
环境要求	FineBI 工程和中转服务满足以下条件： FineBI工程、中转服务与简道云支持公网访问 FineBI 支持安装后台单点登录插件
地址信息	FineBI工程地址：https://demo.fanruan.com 中转服务地址：https://demo.fanruan.com/help/sso.php

开始配置前，请确认以下条件已满足。

1）检查操作用户权限：仅简道云企业创建者与系统管理员支持配置集成应用

2）检查简道云版本：企业版及以上简道云支持集成应用功能。版本升级可点击：商务咨询。

1）检查操作用户权限：仅 FineBI 超级管理员支持配置后台单点登录

2）检查中转服务所在环境：中转服务已开启 HTTPS 并配置可信域名（本文将中转服务放在了 FineBI 工程中，确保 FineBI 工程满足该条件即可）

3）确保 FineBI 关闭「点击劫持攻击防护」：允许 FineBI 页面被嵌入简道云中显示

检查用户匹配情况：简道云成员编号与 FineBI 用户名一一对应。

此步骤开启 FineBI 对 URL 参数免登的支持。

1）在 FineBI 中进入「管理系统 > 插件管理」，安装「后台单点登录」插件。

2）安装完成后，进入「管理系统 > 系统管理 > 集成后台单点登录」页面。

3）在登录方案中选择「示例接口」，单击「保存」。

4）完成后，FineBI 接受通过 ?fine_username=用户名 参数传入的用户名进行免登。

注：本文为测试示例，因此使用了 FineBI 用户名明文传递方案，用户名暴露在 URL 和访问日志中，安全性相对较低。

在生产环境中，建议改用 FineBI 的 RSA 加密方案。详情请参见：后台单点登录RSA示例代码

此步骤获取用于服务端身份验证的 Suite ID 和 Suite Secret。

1）登录简道云，进入「管理后台 > 基本信息 > 产品中心」页面。

2）单击「+ 集成更多应用」创建新的集成应用。

3）系统弹出「配置集成应用」对话框，填写配置信息，单击「创建」。

配置项	填写说明
应用名称	填写：FineBI
应用描述	填写：集成 FineBI，以当前登录用户身份免登访问
可信域名	填写：demo.fanruan.com 中转服务所在的域名。本文将 sso 中转服务文件上传到了 FineBI 所在服务器，因此域名与 FineBI 工程一致
应用首页	填写：https://demo.fanruan.com/help/sso.php 中转服务的接收地址。本文将 sso 中转服务文件上传到了 FineBI 工程的 help 文件夹下