SSO 管理¶

观测云支持基于 SAML、OIDC/Oauth2.0 协议的 SSO 管理，企业可在本地 IdP（身份提供商）中管理员工信息，无需在观测云和企业 IdP 间同步用户，员工通过指定角色登录访问观测云。

在 SSO 管理，您可以：

• 基于企业域名配置单点登录
• 基于企业域名，开启角色映射，实现更精细的单点登录

用户 SSO¶

员工邮箱符合企业统一身份认证的域名后缀，即可通过该邮箱登录观测云，并根据配置的权限访问系统。

观测云支持为单个工作空间配置多个 SSO 身份提供商（IdP）（上限 10 个）。这允许同一工作空间兼容企业内部不同的认证体系（如 Azure AD、Okta、自建 LDAP 等）。

当多个工作空间配置了相同的身份提供商时，用户只需通过 SSO 登录任一工作空间，即可在登录态有效期内，通过界面顶部的“工作空间切换器”，一键跳转至其他已授权的工作空间，无需重复认证。

1. 进入管理 > 成员管理 > SSO 管理 > 用户 SSO；

2. 按需选择访问类型；

   • SAML
   • OIDC

3. 开始配置。

管理 SSO 列表¶

在 SSO 列表，您可通过以下操作进行管理。

角色映射¶

• 启用角色映射：

  • SSO 登录用户依据身份提供商的 属性字段 和 属性值 匹配角色映射规则，动态分配角色；
  • 未匹配到映射规则的用户将被移除所有角色，无法登录访问工作空间。

• 禁用角色映射：单点登录用户保留之前分配的角色，不受身份提供商侧断言更改的影响。

相关操作¶

添加身份提供商后，您可以按需编辑对 SSO 配置进行管理。支持以下操作：

• 编辑：修改信息、启用或禁用。此操作会影响现有 SSO 成员的登录体验，需谨慎操作；
• 删除：此操作将移除当前单点登录配置，相关成员无法通过该配置登录，需谨慎操作；
• 导入/导出身份提供商：支持导入和导出身份提供商配置，便于快速复制到多个工作空间。

查看 SSO 成员¶

• 成员数量：显示所有通过 SSO 登录的成员总数；
• 成员名单：点击成员数量，可查看具体已授权的 SSO 成员名单。

邮件通知¶

启用、配置、删除 SSO 时，工作空间的 Owner 和 Administrator 会收到相关邮件通知。