1. 功能简介

为提升系统安全性与企业级身份统一管理能力,管理后台现已支持单点登录(SSO)功能。通过配置企业的身份提供商,管理员可实现统一的登录入口,简化用户管理流程,避免重复维护账号和密码。 系统支持三种身份认证协议:SAMLOIDCOAuth2

2. 操作说明

2.1 访问路径

管理后台 > 设置 > 单点登录

2.2 启用 / 关闭 SSO 功能

在 SSO 页面中,管理员可以通过开关启用或关闭系统的 SSO 登录能力。
  • 启用后,登录页将展示“使用 SSO 登录”入口;
  • 关闭后,系统将不再显示 SSO 登录选项,但本地账户登录方式仍可使用,不受影响。

2.3 配置身份提供商

支持通过 SAML、OIDC、OAuth2 协议与企业现有身份系统集成。 管理员可根据企业实际使用的身份系统,选择协议类型,并填写对应字段(如 Client ID、Issuer URL、证书等)。 三种协议的配置方式可参 身份认证模块中的 SSO 配置: 提示:请参考页面中的回调地址信息,将其配置至您的身份提供商平台。

2.4 自动创建系统用户

启用该选项后,首次通过 SSO 登录的用户将自动创建系统用户,无需预先在系统中手动添加账号。
  • 创建的用户将具备完整的系统管理权限;
  • 当前系统无角色管理机制,所有用户权限一致。

3. 登录行为说明

登录方式条件行为
本地登录始终保留账号密码登录
SSO 登录启用 SSO 且身份提供商配置完成登录页展示“使用 SSO 登录”入口
首次 SSO 登录自动创建系统用户启用时自动创建并登录系统

4. 注意事项

  • 身份提供商配置成功前,请勿开启 SSO 开关;
  • 系统暂不支持用户登录后的权限区分,所有系统用户默认为超级管理员。
以下是优化后的 FQA 内容,采用更专业、清晰的企业级 SaaS 产品帮助文档风格,更符合 Web 应用平台的表述规范:

5. 常见问题(FAQ)

Q1:管理后台 > 设置 中的 SSO 与 身份认证 > 成员认证 中的 SSO 有何区别?

两者的单点登录功能面向不同用户群体,适用于不同登录场景:
  • 管理后台的 SSO管理后台 > 设置 > 单点登录) 用于配置系统管理员(System Users)访问管理后台的认证方式,通常面向具备系统管理权限的企业技术人员或平台运营人员。
  • 成员认证的 SSO身份认证 > 成员认证) 用于配置工作空间成员或 Web 应用端用户的身份认证,适用于业务端用户、客户、员工等访问业务工作区或 Web 产品前台的登录场景。

Q2:这两个 SSO 功能在企业 IdP(身份提供商)端的配置有何不同?

为了区分管理后台与业务应用的身份认证,建议在企业 IdP 中分别配置两个应用:
  • 后台 SSO 配置:用于管理后台的身份认证,分配给具备系统管理权限的用户(如管理员、DevOps、平台运营人员);
  • 成员 SSO 配置:用于工作空间或 Web 应用用户的身份认证,面向普通成员、内部员工、客户用户等。
每个应用应使用独立的回调地址(Redirect URI)和信任设置,以保证权限隔离与认证准确性。