1. 身份集成常见问题
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
      • 上下游用户关系视图
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 删除治理与待处理列表功能说明
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
        • 如何实现已停用用户的自动恢复能力
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • 单点登录-网易企业邮箱
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
      • 实现 MFA 与专属钉钉的设备管理联动配置
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • MCP Auth 使用指南
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 身份集成常见问题

如何实现已停用用户的自动恢复能力

本文介绍「已停用用户自动恢复」能力的适用场景与配置方法,帮助 IDaaS 管理员让因通讯录同步而停用的用户在重新入职或重新纳管时受控恢复为正常状态。

概述#

在通讯录集成中,当上游身份源删除用户、且连接器的删除模式设置为「用户停用」时,系统不会物理删除本地用户,而是将其状态置为「停用」。停用可以保留用户数据、阻断登录、保留审计痕迹,但此前停用是不可恢复的终态——员工重新入职或跨源重新纳管时,无法让同一个用户恢复为正常状态。
「已停用用户自动恢复」能力为同步场景新增了一个明确、可审计、可配置的恢复入口:当被停用的用户重新进入有效同步范围、并能通过账号关联命中原用户时,系统可将其从「停用」受控恢复为正常状态。
说明:本能力默认关闭,仅在连接器(或连接流节点)开启后对该连接器同步的用户生效,不改变管理员手动「禁用/启用」的语义。

适用对象#

角色关注点
IDaaS 管理员配置删除模式与恢复开关,处理离职/重新入职
HR 系统对接人在上游恢复员工记录、调整筛选与部门归属

概念辨析:停用与禁用#

状态产生方式含义是否可恢复
停用通讯录同步删除模式选择「用户停用」时自动产生上游已不再承认该账号,阻断其登录与访问,但保留用户主体与历史记录开启本能力后,满足条件可自动恢复
禁用管理员在后台手动操作管理员主动暂停账号由管理员手动「启用」恢复
重要:本能力只针对「停用」状态,不影响管理员手动「禁用/启用」的行为。

用户为什么会进入停用#

当连接器删除模式为「用户停用」时,以下情况会让用户进入停用状态:
场景是否会进入停用说明
上游删除用户,或全量同步不再返回该用户是用户被判定为已离开同步范围
用户仍在上游,但不再满足连接器筛选条件是例如筛选「仅在职员工」,员工转为离职
用户仍在上游,但部门不在同步范围或映射不到本地部门是用户被判定为已离开同步范围
删除数量超过连接器的删除阈值暂不进入停用触发删除保护,本轮停用被阻断

恢复判定条件#

开启自动恢复后,系统按以下原则判定一个停用用户能否恢复:
判定维度规则
主恢复信号上游用户重新进入有效同步范围:被连接器返回、通过筛选条件、能构建有效部门关系
账号命中按连接器的账号关联规则命中同一个本地停用用户;命中多个则记录异常、不自动恢复
状态映射若连接器配置了状态映射,映射结果须为正常(不能是停用/挂起等);未配置则以「重新进入有效同步范围」为信号
连接器开关默认关闭,开启后该连接器才允许恢复停用用户
适用范围普通通讯录连接器、通讯录集成连接流中的「创建/更新用户」节点均适用

前提条件#

已配置通讯录集成连接器,并完成至少一次同步
连接器删除模式为「用户停用」(即停用而非物理删除)
已确认账号关联字段(如工号、手机号、邮箱)稳定可靠,避免误命中
拥有连接器/连接流的编辑权限

操作步骤#

1
步骤 1:进入连接器配置
使用管理员账号登录集成平台,进入 用户中心 → 通讯录集成,打开目标连接器的配置页。
2
步骤 2:开启「已停用用户自动恢复」
在连接器配置中找到「已停用用户自动恢复」开关,将其打开。
配置项说明默认值
已停用用户自动恢复开启后,连接器同步到的用户若通过账号关联命中已停用用户、且重新进入有效同步范围,系统会将其从停用恢复为正常关闭
重要:开启前请确认账号关联字段稳定,避免因字段漂移造成误恢复。
3
步骤 3:(可选)在连接流节点覆盖配置
若通过 AI 连接流编排同步,可在「创建/更新用户」节点上单独配置该开关。节点默认继承连接器配置,也可在节点上覆盖。
4
步骤 4:保存并等待下次同步
保存配置。下次同步时,满足恢复条件的停用用户将被自动恢复,并继续同步其属性与部门关系。

上游动作与系统结果对照#

停用原因上游需要做什么系统处理结果
上游删除或全量不再返回恢复或重新创建同一员工记录,保持账号关联字段可命中原用户再次读到该用户,命中本地停用用户,满足条件后自动恢复
不符合筛选条件修改上游字段,使用户重新通过筛选用户重新进入同步范围,满足条件后自动恢复
部门不在同步范围或映射失败将用户放入可同步、可映射的部门形成有效部门关系后允许恢复
跨 HR 源重新入职新源返回该员工,且开启恢复的连接器能命中原用户由新连接器恢复原停用用户,并记录恢复来源
仅把上游状态改为在职、但用户仍不在同步范围——无效,系统拿不到有效用户记录,无法恢复

典型场景#

场景一:同一 HR 源离职后重新入职
场景二:跨 HR 源重新入职
场景三:筛选条件恢复

验证与测试#

验证项验证方法预期结果
开关生效开启后触发一次同步满足条件的停用用户恢复为正常状态
账号命中检查恢复用户是否为原用户恢复的是同一本地用户,属性与部门被继续同步
未开启对照关闭开关再同步命中的停用用户保持停用,并产生对应同步日志
恢复来源记录跨源恢复后查看用户/同步日志记录了恢复来源连接器

注意事项#

警告:账号关联字段(工号、手机号、邮箱等)不稳定时,可能将不同的人误命中为同一用户并错误恢复。开启前务必确认关联字段的唯一性与稳定性。
注意:在多连接器场景下,一个连接器的恢复行为可能影响仍被其他连接器关联的本地用户,请结合实际同步关系评估影响范围。
建议:首次启用时,先在测试连接器或小范围数据上验证恢复结果,确认无误后再在生产连接器开启。

常见问题#

Q:开启后,所有历史停用用户会立刻恢复吗?
Q:自动恢复会影响管理员手动禁用的账号吗?
Q:只在上游把员工状态改成在职,用户能恢复吗?
Q:连接流节点和连接器的开关冲突时以哪个为准?

相关文档#

关联文档关系说明
通讯录身份集成概述上游身份源同步基础
通讯录同步概述同步策略与删除模式说明
上下游用户关系视图排查用户停用/恢复与上下游关系
修改于 2026-06-18 03:39:06
上一页
常见问题 & 排错指南
下一页
通讯录同步概述
Built with