您在使用飞连数据源同步模块的过程中，遇到疑问时可参考以下常见问题及解决方案。

飞书开放平台的事件订阅中的请求地址如何填写？ #

在飞连管理后台创建飞书数据源对接的时候会自动生成一条提示链接，如下图所示，复制使用即可。

导入新数据源时，是否会覆盖现有的组织架构数据？ #

会根据唯一标识字段进行判断：

• 更新（覆盖）： 若新数据的第三方 ID、手机号或邮箱任意一项与现有数据匹配，系统将自动合并信息并覆盖旧数据。
• 新增： 若以上关键字段均无匹配，系统将创建一条新的员工数据。

切换数据源之后，如何删除旧的数据？ #

目前暂不支持删除旧数据。

如何获取对接第三方应用的案例？ #

请提交工单获取。

LDAP 账号登录后，显示为其他人的账号 #

问题现象
LDAP 账号登录后，显示为其他人的账号，在飞连管理后台查看员工活动日志，显示大量人员的登录账号均为一个人。
问题排查

1. 在用户源同步中查看异常的用户，发现均显示忽略，未能成功同步到飞连，报错信息为 error:"there is other user with same uid or email or mobille in this task"。
2. 在账号源详情页面，单击同步任务页签，在对应的异常的人员右侧单击详情，查看同步数据对比，发现手机号都填写成了“无”。
   
   
3. 在 LDAP 中查看手机号字段，发现该字段的值均填写了“无”。

问题原因
用户字段重复，导致异常用户无法同步到飞连，只有第一个用户完成了同步。异常的人员，在登录时，均匹配了同步成功人员的手机号。从而登录名显示为第一个同步成功的名字。
问题解决
请在 LDAP 上修改用户信息后，重新同步至飞连。

AD 中删除了离职的用户在飞连中为什么还存在？ #

当用户离职时，建议您在 AD 中把用户改成离职状态，不要删除离职的用户，在飞连中能自动同步。
若您在 AD 中删除了离职的用户，需要在飞连中手工删除对应的用户，因为飞连不会自动删除 AD 中不存在的用户。

同步第三方数据源时，未勾选的部门，为什么也被实时同步到了通讯录中？ #

从第三方数据源实时同步时，会将整个组织的数据同步到飞连，建议您在上游第三方数据源控制同步范围，例如在飞书数据源中控制同步范围。

如果想要同步某个子部门的上级部门架构以及子部门中的用户，该如何操作？ #

在多级组织架构中，如果想要同步某个子部门的用户，并同步该子部门的上级部门架构，您可以通过如下方法进行同步：

1. 同步范围选择子部门，高级配置里取消选择创建员工和更新员工，点击开始同步，此时飞连只会同步部门。
   
2. 同步范围选择子部门中的用户，高级配置里选择创建员工和更新员工，点击开始同步，此时飞连会同步员工到正确的部门下。

切换第三方同步数据源有什么需要注意的吗？ #

例如，您原先配置了通过 AD 数据同步数据源，用飞书进行第三方登录，现在需要改为飞书数据同步，您需要了解如下信息：

1. 通过 AD 同步的扩展字段，不会被飞书同步覆盖，根据扩展字段建立的角色信息不会发生变更。
2. 更换数据源对现有登录使用飞连的用户无感，无需重新登录。
3. 如果 AD 数据源中有手机＋邮箱数据，但是飞书数据源中只有手机号，那么同步后，邮箱会被清理。
4. 重新同步后会根据飞书数据源新建部门，所有根据部门的策略需要重新修改。
5. 若 AD 同步时将根部门同步至飞连，可能会产生平级的多个重复的部门信息，同时 AD 产生的部门内的成员都将清空。

从企业微信同步大量部门数据时，部门显示不全 #

该问题主要是由于企业微信 API 接口调用频率限制导致。

从企业微信数据源同步，为什么部分员工未同步邮箱和手机号？ #

从企业微信同步数据后，部分员工激活后就自动同步了邮箱和手机号，部门员工激活后未同步邮箱和手机号，这个属于企业微信隐私保护问题，需要用户手动授权。

中国内地员工能登录飞连，台湾地区员工登录飞连提示用户不存在 #

配置第三方数据同步时，如果采用手机号字段作为匹配用户的唯一标识，可能因手机号的格式错误而匹配失败，建议您通过用户 ID 去匹配用户。
从 LDAP 同步数据时，配置用户唯一标识字段的值为 uid 或 sAMAccountName。不同 LDAP 服务器的唯一标识属性的值说明如下：

• OpenLDAP：uid、dn
• 基于 LDAP 的 AD 域：sAMAccountName

飞连未同步第三方平台用户的离职状态 #

问题现象
在第三方数据源（如飞书、钉钉、AD）中已离职的员工，同步到飞连后状态仍为“在职”。
问题原因
此问题通常由飞连数据源的删除处理策略、离职保护机制或第三方平台的数据状态这三个环节的配置或数据异常导致。
问题排查

1. 检查高级配置里的“删除处理”配置。
   1. 登录飞连管理后台，导航至身份 ＞ 账号配置 ＞ 数据源同步。
   2. 进入您正在使用的飞书/钉钉/AD 数据源配置页面。
   3. 找到并进入高级配置 ＞ 员工状态映射。
   4. 检查“删除员工后，员工状态为”选项的配置。
      
      • 如果此项被配置为“保留”，无论第三方平台如何变化，飞连都不会将用户置为离职。
      • 请根据您的管理需求，将其修改为“离职” 或 “暂停使用”，然后重新触发一次同步。
2. 检查是否触发离职保护。
   1. 在数据源详情页，切换至同步任务页签。
   2. 找到失败的同步任务，点击操作列的详情，查看其同步日志。
      
   3. 在日志中查找离职保护相关的告警信息。
      如果日志中有如图提示，则表明离职操作已被离职数据保护安全机制自动暂停。
      
   4. 解决方案：
      1. 请首先核实本次同步的离职人数是否符合预期。
      2. 如果确认是正常的大规模离职，您可以暂时关闭“触发离职数据保护”的开关。
      3. 重新执行一次同步，待用户状态成功更新为“离职”后，建议您再重新开启此保护开关。
         
3. 检查第三方平台并未真正地将该用户标记为“离职”状态，或者标记方式与飞连的预期不符。
   1. 在数据源配置页面，进入同步任务标签页。
   2. 在任务列表中，找到最近一次的同步记录，搜索未成功离职的用户，查看同步数据对比。
      • 对于飞书/钉钉/企业微信：
        • 在原始数据中，找到 status 字段。飞连通常认为 status 值为 1 表示在职。如果该用户在第三方平台的status值仍为在职状态，飞连自然不会将其置为离职。
      • 对于 Windows AD：
        • 飞连通过 userAccountControl 字段的值来判断用户是否被禁用。一个被禁用的 AD 用户，同步到飞连后会被置为离职状态。常见离职状态的 userAccountControl 值如下：
          • 514：用户已禁用，正常用户。
          • 546：用户已禁用，正常用户，密码不需要。
          • 66050：用户已禁用，正常用户，密码已过期。
        • 如果您自定义了离职字段的映射，请确保其字段名的大小写正确。例如，应为小写的 userAccountControl。

为什么在飞书中已离职或被删除的用户，在飞连中状态仍为“在职”？ #

此现象有可能是由您在飞书中的具体操作方式触发了飞连的数据安全保护机制所致。这属于产品的预期行为。
请根据您的操作，核对是否属于以下两种常见场景。

• 场景一：用户在飞书后台被“删除”，而不是被标记为“离职”。
  • 问题现象
    您在飞书通讯录中，直接删除了一个员工的账号条目。同步后，该员工在飞连中依然显示为“在职”。
  • 问题原因
    当一个用户在数据源中被删除时，飞连的同步服务无法单方面判断这是一个正常的离职操作，还是由于网络波动、API 异常或第三方平台配置错误导致的临时性数据丢失。
    为防止因上游数据异常而导致飞连平台内的用户被大规模错误地置为离职，系统的数据安全机制规定，仅当从 API 明确接收到用户的“离职”状态字段时，才会执行离职操作。对于在同步数据集中未找到的用户，系统将保留其在飞连中的现有状态。
  • 解决方案/正确操作
    在飞书后台进行员工离职操作时，请使用“办理离职”或将其用户状态变更为“离职/停用”的功能，而不是直接删除该用户的账号。
• 场景二：用户因离职被移出飞连配置的同步范围。
  • 问题现象
    您在飞书数据源中，设置了仅同步部分指定部门。一个员工离职后，其所属部门被变更到了您指定的范围之外。同步后，该员工在飞连中依然显示为“在职”。
  • 根本原因
    当该员工因离职而被移出您在飞连中设定的同步部门范围后，在下一次同步任务执行时，飞连的查询请求将无法再从飞书的 API 返回结果中匹配到该用户。由于无法获取到该用户的最新状态信息（包括其“离职”状态），飞连的数据安全机制会选择保留该用户最后一次成功同步时的状态，以避免因同步范围配置不当而导致的数据误删。
  • 解决方案/建议配置
    为了确保所有员工（包括在职和离职）的状态都能被准确、及时地同步，我们强烈建议您在飞书后台，将权限范围设置为全部成员，或者确保您选择的部分成员/部门范围，能够包含存放已离职员工的组织单元。

配置飞书数据源时提示“企业部门为空，请检查账号权限”，如何解决？ #

原因分析
飞书应用未被授予足够的权限，或未对当前用户/部门配置“可见性”。
解决方案

1. 登录飞书开发者平台，找到集成的应用。
2. 检查权限：进入权限管理，确保已开通通讯录相关的读取权限。
3. 配置可见范围：进入应用发布 > 版本发布与管理，检查应用的可用范围设置。飞连只能同步该范围内的成员和部门信息，请确保其覆盖了需要同步的组织架构。

为何 LDAP 账号未完全同步（部分用户缺失）？ #

原因分析
通常是因为用户数据缺失了“唯一标识字段”或该字段存在重复。
排查建议
请检查您在飞连中配置的 LDAP 唯一标识字段（通常设为邮箱或工号）：

1. 数据完整性：缺失用户的该字段在 LDAP 中是否为空？
2. 数据唯一性：该字段的值是否已被其他已导入用户占用？

飞连会忽略关键信息缺失或冲突的条目。

批量导入成员时，设置的“到期时间”为何未生效？ #

原因分析
导入模板中日期列的单元格格式或日期字符串格式不符合系统解析要求。
解决步骤
请重新检查 Excel 导入文件，确保“到期时间”列满足以下两点：

1. 单元格格式：必须设置为文本 (Text)，切勿使用 Excel 默认的“日期”类型。
2. 日期格式：必须严格遵循 YYYY-MM-DD 格式（例如 2022-03-24）。

导入第三方数据源时未映射手机号，为何导入结果中仍包含手机号？ #

原因分析
飞连在同步数据时，会默认拉取开放平台授权范围内的所有可用字段。如果您在第三方平台（如企微、飞书）授予了“获取用户手机号”的权限，飞连可能会自动同步该信息。
解决步骤
若不希望同步手机号，请前往对应的第三方开放平台（如企业微信后台），在应用权限设置中取消获取用户手机号的授权，然后重新执行导入。

LDAP 登录报错“194001: LDAP 账号不存在或存在多个用户名相同的账号”，如何处理？ #

原因分析
登录检索条件与账号实际属性不匹配，通常是因为配置的用户对象类与实际同步的用户属性不一致。
解决步骤
请检查 LDAP 数据源配置，确保登录配置与同步配置中的用户对象类保持一致（例如均设置为 person、user 或 inetOrgPerson），从而保证系统能正确锁定唯一的 LDAP 用户。

同步 Lark 用户到飞连失败，只能同步根部门，子部门无法正常同步 #

问题原因
如果您在 Lark 后台为飞连的同步应用开启了“虚线上级”相关的数据权限，很可能导致此问题，这是当前使用的飞连版本尚未兼容此特性所导致的。
问题诊断
您可以通过检查飞连服务器的后台日志来确认问题原因。

1. 复现问题：​在飞连管理后台，手动触发一次 Lark 数据源的全量同步。
2. 查看日志：​通过 SSH 登录到飞连服务器后台，查看数据同步服务的日志。
3. 分析错误：​如果在日志中看到包含以下关键词的error级别日志，即可确认是此问题：
   • list department members failed
   • json: cannot unmarshal
   • dotted_line_leader_user_ids

解决方案
请在您的 Lark 管理后台，关闭同步应用对于“虚线上级”的权限。

此问题已在飞连 3.1.6 及以上版本中得到兼容和修复。如果您的版本较低，请使用本临时解决方案，或联系您的飞连服务供应商进行升级。