IDaaS作为企业身份数据的中枢,提供了全方位的数据同步能力,实现上游身份源与下游应用系统之间的账户数据无缝流转。
通过将AD、钉钉、企业微信、飞书等权威身份源的数据同步至IDaaS,再经由IDaaS分发给各类应用,实现 “一次变更,处处生效” 的自动化账户管理。
一、 数据同步的两个方向
入方向同步:将外部系统(身份源/上游应用)的账户数据导入到IDaaS,在IDaaS中建立或更新统一的账户视图。
出方向同步:将IDaaS中的账户数据导出到外部系统(下游应用),为各类应用提供准确、及时的账户信息。
数据源中的数据发生变更后,可通过入方向同步至IDaaS,IDaaS再通过出方向自动同步到所有下游应用,实现端到端的自动化。
二、 入方向同步(数据导入IDaaS)
|
同步方式
|
对接方
|
描述与典型场景
|
|
从身份提供方同步
|
钉钉、企业微信、飞书、AD、OpenLDAP、泛微OA等
|
标准对接:直接配置,将主流企业身份源的全量账户和组织结构同步到IDaaS。
|
|
JIT
|
支持OIDC、SAML的应用或身份源(如Okta, Azure AD等)
|
按需同步:用户首次登录时,将其账户信息从上游身份源同步到IDaaS。适合迁移或不愿全量同步的场景。
|
三、 出方向同步(数据从IDaaS导出)
|
同步方式
|
对接方
|
描述与典型场景
|
|
同步到身份提供方
|
AD、OpenLDAP等
|
反向写回:将IDaaS中的账户变更(如密码)主动同步回指定的身份源。
|
|
SCIM 协议推送
|
支持SCIM标准的应用(如Jira, Slack)
|
国际标准:IDaaS作为SCIM服务器,主动将账户变更推送给配置了SCIM标准接口的下游应用。
|
|
SDK应用
|
企业应用
|
实时通知:当IDaaS中账户发生增删改等事件时,主动向预设的URL发送通知,应用可据此即时更新。
|
四、总结与建议
入方向首选:若使用钉钉、企业微信、AD等标准身份源,推荐使用 “身份提供方” 进行全量同步。
出方向首选:优先使用 SCIM 或 SDK。
定制化需求:对于非标准系统,OpenAPI 和 私有化Connector 提供了灵活的解决方案。
通过合理组合以上同步方式,可以构建一个以IDaaS为核心的、自动化且高效的企业统一身份管理体系。