在构建企业安全办公体系时，实现身份信息的自动化管理与便捷登录是基础。飞连通过身份对接能力，将企业现有的第三方平台（如飞书、钉钉、AD 域）或标准认证协议（如 OIDC、CAS）与飞连身份中台深度集成，从而构建统一的账号体系与认证中心。

核心功能：认证源与身份源 #

身份对接包含两个平级且互补的核心维度：认证源管理与数据源同步。

业务价值 #

• 身份自动化管理：通过数据源同步，实现员工入职自动开通账号、调岗自动变更权限、离职自动封禁访问，大幅降低 IT 运维成本。
• 极致的登录体验：员工无需记忆多套账密，通过认证源对接，可直接使用飞书、钉钉等常用 App 扫码一键登录飞连客户端及关联业务系统。
• 安全可控：飞连作为身份中台，可在对接过程中实施属性映射策略与数据保护逻辑，预防因同步配置失误导致的数据大面积误删风险。

工作原理 #

认证交互原理（认证源逻辑） #

飞连支持对接全行业主流身份源。无论是飞书、钉钉等协同办公平台，Azure AD、Okta 等身份服务商，还是 GitHub 等开发者平台，或是基于 OIDC、CAS、RADIUS、Kerberos 等标准协议的自研系统，均可快速接入飞连实现统一认证。

• 重定向与回调：当用户点击“飞书登录”或“OIDC 登录”时，飞连会将用户重定向至对应的认证源页面。用户完成身份验证后，认证源携带加密凭证（Token）回调至飞连，飞连校验通过后授予访问权限。
• 自动创建账号：飞连支持“登录时匹配”逻辑。如果认证源返回的用户在飞连中尚不存在，系统可根据配置自动创建员工账号，实现“注册即登录”的无感体验。

数据同步原理（身份源逻辑） #

飞连通过 API 调用、目录协议（如 LDAP/AD）或 SCIM 等标准身份管理协议与第三方平台通信，实现身份数据的自动化同步。

• 字段映射：系统通过“字段对齐”逻辑实现数据转换。例如，将飞书的 user_id 映射为飞连的“第三方 ID”。同时支持使用表达式映射动态生成字段值（如通过 ID 拼接生成统一格式的邮箱地址）。
• 双向流转：
  • 上游同步（导入身份）：飞连作为下游，拉取外部身份数据，建立飞连账号体系。
  • 下游同步（推送身份）：飞连作为主账号源，将身份变更实时推送到子公司或其他业务系统（如 Windows AD）。

场景选择指南 #

根据企业现有的 IT 基础设施，您可以选择不同的对接方案：

• 如果您正在使用协同办公平台（飞书/钉钉/企微），建议同时配置身份源同步与认证源管理。这样既能保持通讯录实时一致，又能享受扫码免密登录的便利。
• 如果您有自研认证系统或第三方 IAM，建议使用 OIDC、CAS 或 RADIUS 等标准协议接入，将飞连作为认证客户端挂载到现有认证体系中。
• 如果您维护着传统本地目录（LDAP/Windows AD），建议配置身份源同步，将复杂的目录结构一键映射至飞连，实现云端与本地身份的打通。

配置指引 #

1. 配置网络白名单 #

在进行任何对接操作前，请确保网络连通性。若未正确放行域名，将导致同步或登录失败。

• 参考文档：配置公网访问白名单

2. 对接上游 #

如果您希望从外部平台同步组织架构，或使用外部账号登录飞连，请根据您的平台类型选择指南：

• 参考文档：标准协议对接、协同办公平台对接、目录服务与身份提供商对接

3. 对接下游 #

将飞连中维护的人员信息实时推送到第三方平台。

• 参考文档：身份推送

4 进阶策略配置 #

完成初步集成后，您可以通过以下功能精细化管理同步逻辑：

• 同步逻辑管理： 管理上游同步策略（员工/部门/角色同步逻辑）
• 复杂字段转换： 映射规则与表达式语法参考