Project Repo
🔗 https://github.com/eggyrooch-blip/office365-tools
本 skill 依赖上面这个 Python CLI。Agent 执行前先确认 repo 已 clone 到本地;遇到任何不确定的实现细节(CLI 子命令签名、.env 变量名、API 返回字段)优先去仓库查 README.md / CLAUDE.md / docs/,不要凭本 skill 描述臆断。仓库是 single source of truth。
Prerequisites(必读)
git clone https://github.com/eggyrooch-blip/office365-tools && cd office365-tools && pip install -r requirements.txt- 在该仓库根创建
.env,按下方模板填写 - 飞书:在 open.feishu.cn 建自建应用,开启
contact:contact:readonly,发布版本 - Office 365 Entra App 已授予
User.ReadWrite.All / LicenseAssignment.ReadWrite.All管理员同意 - Adobe Developer Console 已建 OAuth Server-to-Server credential 并绑定 User Management API
.env 模板(复制到 office-usertools/.env 后按实际填写)
# --------- Office 365(世纪互联) ---------
CLIENT_ID=your-entra-app-client-id
TENANT_ID=your-entra-tenant-id
CLIENT_SECRET=your-entra-app-secret
DEFAULT_PASSWORD=ChangeMe@2025
DEFAULT_DOMAIN=yourcorp.partner.onmschina.cn
FORCE_CHANGE_PASSWORD=true
# 通知邮件
NOTIFICATION_ENABLED=true
NOTIFICATION_FROM_EMAIL=it-tools@yourcorp.com
NOTIFICATION_BCC_EMAILS=it@yourcorp.com
NOTIFICATION_EMAIL_DOMAIN=yourcorp.com
# SMTP
SMTP_HOST=smtp.feishu.cn
SMTP_PORT=465
SMTP_USERNAME=it-tools@yourcorp.com
SMTP_PASSWORD=your-smtp-password
SMTP_USE_SSL=true
# --------- Adobe UMAPI ---------
ADOBE_CLIENT_ID=your-adobe-client-id
ADOBE_CLIENT_SECRET=your-adobe-client-secret
ADOBE_ORG_ID=xxxxxxxxxxxxxxxxxxxxxxxx@AdobeOrg
ADOBE_API_BASE_URL=https://usermanagement.adobe.io/v2/usermanagement
ADOBE_DEFAULT_DOMAIN=yourcorp.com
# --------- 飞书开放平台 ---------
FEISHU_APP_ID=cli_xxxxxxxxxxxxxxx
FEISHU_APP_SECRET=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
FEISHU_API_BASE=https://open.feishu.cn
# 员工在飞书登记的工作邮箱域(把 O365 UPN 的 local-part 拼这个域去查)
FEISHU_EMAIL_DOMAIN=yourcorp.com
MANDATORY TRIGGER
| 用户说 | 动作 |
|---|---|
| "离职检查" / "查离职" / "筛查离职" | 执行完整流程 |
| "清理离职账号" / "清户" | 完整流程,最后一步交互确认删除 |
| "Office 离职" / "Adobe 离职" | 只跑指定平台 |
| "resignation check" | 完整流程 |
输入参数(可选)
| 参数 | 说明 | 默认 |
|---|---|---|
| provider | office365 / adobe / both | both |
| csv_path | Adobe 走 CSV 模式时传入 Admin Console 导出的 users.csv 路径 | 无(优先走 API) |
| delete | 交互确认后是否删除 | true |
前提
- 工作目录:
/Users/kite/Documents/office-usertools(含 office365 / adobe CLI) .env必备:FEISHU_APP_ID+FEISHU_APP_SECRET(不依赖 lark-cli)- 飞书自建应用需已申请
contact:contact:readonly(或contact:user.employee_id:readonly)并发布版本
核心思路:直接调用飞书 OpenAPI
步骤 1 · 获取 tenant_access_token(2h 有效)
import requests, os
from dotenv import load_dotenv; load_dotenv()
BASE = os.getenv('FEISHU_API_BASE', 'https://open.feishu.cn')
r = requests.post(f'{BASE}/open-apis/auth/v3/tenant_access_token/internal',
json={'app_id': os.environ['FEISHU_APP_ID'],
'app_secret': os.environ['FEISHU_APP_SECRET']}, timeout=10)
token = r.json()['tenant_access_token']
H = {'Authorization': f'Bearer {token}', 'Content-Type': 'application/json'}
步骤 2 · 批量用 email 查 user_id(单次最多 50 个)
# POST /open-apis/contact/v3/users/batch_get_id?user_id_type=user_id
def lookup(emails):
out = {}
for i in range(0, len(emails), 50):
batch = emails[i:i+50]
r = requests.post(f'{BASE}/open-apis/contact/v3/users/batch_get_id',
headers=H, params={'user_id_type':'user_id'},
json={'emails': batch}, timeout=15)
for item in r.json().get('data', {}).get('user_list', []):
out[item['email']] = item.get('user_id') # None = 离职/未入职
return out
user_id is None 即飞书通讯录里查不到 → 离职候选。命中 user_id 即在职。
相比 lark-cli 的优势:
- 单个请求可一批 50 个,152 个 O365 用户 4 次请求搞定(而非 152 次)
- 用 app_id/app_secret 无需手动
auth login,可在 CI / ClawHub 环境运行 - 响应直接是结构化 JSON,不用解析命令输出
执行步骤
1. 拉取平台用户列表
Office 365
from app.services.provider_factory import get_provider
p = get_provider('office365')
users = p.graph_client.get_users(select='userPrincipalName,displayName,accountEnabled')
emails_o365 = [u['userPrincipalName'] for u in users] # 例 zhangsan@corp.partner.onmschina.cn
但要注意:世纪互联的 UPN 域(partner.onmschina.cn)和飞书注册的工作邮箱域(通常是 corp.com)不一样。需要把 UPN 的 local-part 拼上飞书员工邮箱域:
FEISHU_EMAIL_DOMAIN = os.getenv('FEISHU_EMAIL_DOMAIN') or os.getenv('ADOBE_DEFAULT_DOMAIN') # 例 yourcorp.com
o365_probe = [upn.split('@')[0] + '@' + FEISHU_EMAIL_DOMAIN for upn in emails_o365]
(如果两边域一致就直接用原 email)
Adobe
- 优先:CSV 模式——Admin Console → Users → Export
import csv with open(csv_path, encoding='utf-8-sig') as f: rows = list(csv.DictReader(f)) emails_adobe = [r['电子邮件'] for r in rows if r.get('电子邮件')] - 备选:API 模式
p.client.get_all_users()(分页易触发 429,Retry-After 可能很长)
2. 飞书批量核对
probe_emails = list(set(o365_probe + emails_adobe))
id_map = lookup(probe_emails)
active_set = {e for e, uid in id_map.items() if uid}
miss_set = {e for e, uid in id_map.items() if not uid}
3. 分类 MISS
Office 365:
- 系统账号白名单:
admin,admin-it, 含testuser/svc-前缀等 →skip_system - 其余 MISS → 真名离职候选
Adobe:
- 共享池:
keepadobe*/testaccount*→shared_pool(人工判断) - 非员工邮箱域(QQ、Gmail、手机号邮箱)→
needs_manual_review - 真名 MISS → 离职候选
4. 生成报告
## 离职筛查结果(<provider>)
- 总账号:N | 在职命中:X | 疑似离职:Y
### 真名离职候选 (Z 人)
| email | displayName | 平台 | 状态 | license |
...
### 需人工判断
- 共享池账号:...
- 非员工邮箱:...
5. 交互确认删除
用 AskUserQuestion 给三选项:
- 确认删除真名离职候选 N 人(推荐)
- 编辑名单后删除
- 取消
必须:
- 拿到明确答复才执行,不凭 "都删了吧" 之类的短语臆断
- 每次删除后核对返回值(O365:
deleted: True;Adobe:completed:1, result:success) - 日志落到
/tmp/<provider>_delete.log
6. 删除执行
- Office 365:
python main.py office365 delete <ldap>—— 自动发通知邮件 - Adobe:
python main.py adobe delete <email>—— 已修复 array payload + removeFromOrg - 若 Adobe 遇 429,尊重
Retry-After头,或用 ScheduleWakeup 稍后重试
7. 终态核对
- O365:重新拉总数应下降对应数量
- Adobe:对已删用户再 inspect 应返回 404
产出
控制台报告 + /tmp/resignation_report_<ts>.md,包含:
- 平台总数 / 命中 / 未命中
- 真名候选删除结果(成功 / 失败)
- 共享池 / 无法解析账号清单(待人工决策)
Red Flags
| 症状 | 原因 | 处理 |
|---|---|---|
| 飞书全部 MISS | email 域不对 / app 权限未发布 | 先单独查一个已知在职邮箱,确认能命中 |
code:99991668 | token 未授权该 scope | 去应用后台权限管理,申请 contact:contact:readonly 并发布版本 |
code:99991672 | app 未发版 / 租户未安装 | 发布应用版本 → 管理员后台启用 |
| O365 UPN 域与飞书邮箱域不一致 | 世纪互联是 partner.onmschina.cn,飞书是企业邮箱域 | 用 FEISHU_EMAIL_DOMAIN 覆盖;local-part 重新拼域 |
| Adobe 429 Retry-After >30min | get_all_users 分页打满配额 | 切 CSV 模式 |
| 删除返回 notCompleted=1 | 用户已不在 org / 邮箱错 | 先 inspect 核实 |
安全红线
- 不自动合并共享池到删除名单 —— 很可能是业务池账号
- 非员工邮箱不自动判定离职 —— 归属不清
- 最终删除前用
AskUserQuestion展示完整名单拿确认 FEISHU_APP_SECRET不能外泄/写进日志