您可以将企业微信与飞连集成，实现微信组织架构向飞连同步，并允许员工使用企业微信扫码或 App 授权一键登录飞连。

特别说明 #

企业微信出于安全合规考虑，要求调用其通讯录、身份校验等接口时的出口 IP 必须为企业专属。由于飞连 SaaS 为多租户共用环境，直接连接可能导致接口被封禁。为确保业务稳定性与合规性，本方案采用“流量中转代理”架构，通过您的自有服务器（具备固定公网 IP）建立中转站，转发飞连与企业微信之间的通讯请求。

准备工作 #

在开始配置前，请确保已准备好以下基础资源：

步骤一：在企业微信侧创建应用 #

1. 管理员登录企业微信管理后台。
2. 选择应用管理 > 应用，在“自建”区域点击创建应用，设置应用 Logo、名称及可见范围。
3. 进入应用详情页，点击网页授权及 JS-SDK > 设置可信域名。
   
4. 将准备好的可信域名填入可信域名输入框，点击申请校验域名。
5. 记录系统生成的校验字符串（形如 WW_verify_xxxx）。
   • 注意： 此时请勿点击“确定”，需先执行下方的 Nginx 配置。
     

步骤二：部署 Nginx 中转代理服务 #

本步骤旨在通过您的专属服务器，将飞连发出的请求转发至企业微信，并绕过共享 IP 限制。

1. 在您的服务器上，参考以下模板编辑 Nginx 配置文件（请替换 {} 中的占位符）。

   server {
       listen 10443 ssl; 
       server_name {您的可信域名}; # 示例：wecom-proxy.yourcompany.com
   
       # SSL 安全证书配置
       ssl_certificate /etc/nginx/certs/{your_domain.pem};
       ssl_certificate_key /etc/nginx/certs/{your_domain.key};
   
       # A. 企业微信域名所有权校验
       # 目的：响应企业微信的校验请求，证明您对该域名的所有权
       location ~ ^/WW_verify_ {
           # 设置响应类型为纯文本（也可以根据需要设为 text/html）
           default_type text/plain;
           return 200 "{您的校验字符串}"; # 替换为第一步中在企微后台获取的 WW_verify_xxx 内容
       }
   
       # B. 企业微信 API 接口请求代理
       # 目的：将飞连发出的请求通过您的专属出口 IP 转发至企微，规避共享 IP 封禁
       location /cgi-bin/ {
           # 转发请求到企业微信
           proxy_pass https://qyapi.weixin.qq.com;
           
           # 1. 必须设置 Host 头部，企业微信根据此域名识别请求
           proxy_set_header Host qyapi.weixin.qq.com;
   
           # 2. 禁用真实 IP 传递，确保企业微信仅识别到您的代理服务器 IP
           proxy_set_header X-Real-IP "";
           proxy_set_header X-Forwarded-For "";
   
           # 3. 如果这台机器有多个网卡/IP，且您需要指定某个特定的出口 IP，可以使用：
           # proxy_bind {您的转发机器出口IP};
   
           # 4. HTTPS 握手优化（必选，否则可能因 SNI 问题导致 403/证书错误）
           proxy_ssl_server_name on;
           proxy_ssl_protocols TLSv1.2 TLSv1.3;
   
           # 5. 关闭重定向改写，保持请求一致性
           proxy_redirect off;
       }
   
       # C. 身份认证回调重定向（按需）
       # 目的：员工在企业微信扫码后，将其准确导向飞连的登录处理页面
       location ^~ /api/weixin/forward/callback {
           return 302 https://{您的飞连域名}/multiple-pages/third-login.html$is_args$args;
       }
       location ^~ /api/weixin/forward/callback/otp {
           return 302 https://{您的飞连域名}/multiple-pages/third-otp.html$is_args$args;
       }
   
       # D. 通讯录实时同步配置（按需）
       # 目的：接收企业微信发出的组织架构变更事件通知
       location ^~ /api/v1/sync2/webhook/events/{实时同步占位符} {
           proxy_pass https://{您的飞连域名};
           proxy_set_header Host {您的飞连域名};
           # proxy_bind {您的转发机器出口IP};
           proxy_ssl_server_name on;
           proxy_ssl_protocols TLSv1.2 TLSv1.3;
           proxy_redirect off;
       }
   }
   

2. 使用 nginx -s reload 重载配置。

3. 完成校验：回到企业微信后台，点击确定完成域名校验。

4. 在企业可信 IP 配置中，填入该服务器的固定公网出口 IP。
   

步骤三：在飞连侧配置企业微信登录（认证源） #

1. 登录飞连管理后台，进入身份 > 账号配置 > 认证源管理。

2. 点击 + 添加认证源，选择企业微信。
   

3. 参考配置页面顶部的配置步骤说明，获取对应的参数并填入对应位置。

4. 参考界面提示配置参数，关键参数说明如下，完成配置后，单击确定。

   模块	配置项	必填	说明
   基本信息	登录显示图标	是	登录界面按钮上显示的图标，点击重新上传可自定义。
   	登录简称	是	显示在登录按钮下方的名称，如“企业微信登录”。点击输入框下方的示例了解展示效果。支持多语言配置。
   	唯一标志	不涉及	登录源唯一标识，由系统默认提供，不可修改。
   	单位	是	选择该认证源适用的单位。设置后，该单位员工可使用此方式登录。
   	描述	否	后台管理备注说明，长度小于 40 位字符。
   	登录认证位置	是	请选择该登录认证方式适用的飞连客户端类型，默认飞连手机端软件、桌面端软件或门户网站均可使用该登录认证方式。
   认证信息	企业 ID	是	填写在企业微信后台我的企业中获取的 CorpID。
   	Agent ID	是	填写在企业微信应用详情页面获取的 AgentId。
   	Secret	是	填写在企业微信应用详情页面获取的 Secret。
   	Schema	是	填写在企业微信应用详情授权登录页面生成的 Schema。
   	企业微信私有化部署版本	是	开启开关，并在地址栏填入 https://{您的可信域名}。
   	企业微信自定义认证	是	开启开关，并填入由中转代理生成的认证回调地址： 认证地址：https://{您的可信域名}/api/weixin/forward/callback OTP 地址：https://{您的可信域名}/api/weixin/forward/callback/otp
   高级配置	属性映射策略	是	将第三方登录认证源的用户信息直接映射为飞连的用户信息，即在登录过程中建立第三方与飞连用户之间的对应关系： 调整字段映射关系：左侧企业微信字段是指企业微信内设置的用户字段。右侧飞连字段是指需要配置映射到飞连的用户字段。 开启登录自动更新：如果在对应映射字段后勾选了开启，表示在进行登录时，如果匹配到系统中存在的用户，会用本次登录时的用户属性对系统中的用户属性进行更新。 删除：删除当前映射策略。 添加：如果飞连默认提供的字段不能满足映射需求，可单击添加，手动添加字段映射关系。 添加扩展字段：如果当前字段不能满足映射策略，可单击添加扩展字段，填写说明如下： 字段 Key：定义字段的唯一值。 字段名称：设置字段的显示名称。 字段描述：填写字段的说明。
   	唯一标识优先级	是	通过拖拽设置匹配标识的优先级，飞连将按照优先级顺序匹配上游唯一标识。如果当前标识不能满足需求，可单击添加，手动添加标识。
   	登录未匹配到员工时，选择处置方式	否	企业成员登录飞连时，未在飞连组织架构匹配到用户时，将提供自动创建账号服务，可选： 自动创建员工账号：开启后，登录未匹配到员工时，将自动创建员工账号，将员工关联至指定部门。 员工登录失败，将不会创建账号：开启后，登录未匹配到员工时，将不创建账号。

5. 配置效果：以在 macOS 中登录飞连客户端为例，打开飞连客户端，用户会在更多登录方式区域看到企业微信图标。
   

6. （可选）员工体验优化配置：

   • 移动端一键登录：如需通过企业微信工作台直接登录飞连移动端，则可创建一个新的企业微信应用，并配置应用主页为：https://飞连Saas域名/multiple-pages/third-login.html，后续员工点击应用图标即可免密登录。
   • 动态口令（OTP）：如需在企业微信 IM 内查看 OTP，则可创建一个新的企业微信应用，并配置应用主页为：https://飞连Saas域名/multiple-pages/third-otp.html，后续员工可直接在企业微信内查看二次认证码。

步骤四：在飞连侧配置身份同步（身份源） #

1. 登录飞连管理后台，选择身份 > 账号配置 > 数据源同步。
2. 点击添加数据源，选择上游同步 > 企业微信，点击创建。
   

数据源配置 #

• 数据源名称：系统默认为“微信数据同步”，支持自定义。
• 企业 ID / Secret：填入企业微信后台获取的凭证。
• 企业微信 Host：填入中转代理地址 https://{您的可信域名}。
• 单位：选择该数据源适用的单位。
• 权限探测：点击开始检测。若显示成功，说明中转通道已调通。
  

数据对象配置 #

1. 在选择部门与成员区域，选择同步对象。被选择的同步对象会被导入管理后台。
2. 在同步字段映射区域，设置第三方与飞连的字段映射关系。
   同步字段映射用于企业将第三方的成员信息中的字段映射到飞连内。单击编辑，可手动调整字段映射关系，左侧第三方字段是指第三方平台内设置的用户字段；中间映射规则可选择使用固定字段映射或表达式映射，详情参看配置数据源映射策略；右侧飞连字段是指第三方平台映射到飞连的用户字段。字段配置说明如下：
   • 第三方 ID（用户 ID）、手机号（手机号码）、邮箱（员工邮箱）字段不允许修改与删除，用于匹配用户唯一账号关系。
   • 如果飞连默认提供的字段不能满足映射需求，可单击添加映射，手动添加字段映射关系。
     
     添加映射时，除了选择飞连提供的默认字段，还支持手动添加扩展字段。
     • 第三方字段中添加扩展字段方式如下图所示。
       
     • 飞连字段中添加扩展字段方式如下图所示，扩展字段填写说明如下：
       
       • 字段 Key：定义字段唯一值。
       • 字段名称：字段的显示名称。
       • 字段描述：字段的说明。
       • 字段类型：可选字符串、数字、布尔值、表达式、枚举值。
       • 高级配置：可选必填、唯一、编辑。
         在第三方字段和飞连字段列名右侧，单击设置图标，可以统一管理扩展字段（包括添加、编辑、删除操作）。
         

导入模式配置 #

当企业微信数据发生变更时，飞连为用户提供了三种同步数据的方式可选，包括手动导入、自动导入和实时同步。

若选择实时同步，需获取 Token 与 EncodingAESKey：

1. 在企业微信管理后台，选择安全与管理 > 管理工具 > 通讯录同步，点击设置接收事件管理器。
   

2. “确认信息”将通过“企业微信团队”下发。在企业微信中进入“企业微信团队”对话框，在提示中点击前往查看。
   

3. 进入详情页确认操作。
   

4. 回到企业微信管理后台安全与管理 > 管理工具 > 通讯录同步 > 已设置接收事件管理器，设置接收事件服务器 URL 为https://{您的可信域名}/api/v1/sync2/webhook/events/{占位符}”。
   

5. 点击随机获取 Token 与 EncodingAESKey，将获取到的信息填入飞连管理后台。

6. 设置企业可信IP：在安全与管理 > 管理工具 > 通讯录同步 > 企业可信 IP 中，传入 Nginx 服务器的出口 IP。
   

生效同步配置 #

在数据源同步页签的列表中，找到已添加的企业微信数据源，打开生效开关，该数据同步配置才正式生效，后续将按照设置的同步方式进行数据同步。

同步任务的执行情况和历史记录可进入账号源详情的同步任务页签查看。