SSO 管理¶
观测云支持基于 SAML 2.0 和 OIDC/OAuth 2.0 协议的单点登录(SSO)。企业可在本地身份提供商(IdP)中统一管理员工账号,无需在观测云和 IdP 之间同步用户信息。员工通过企业邮箱即可登录观测云,并根据预设权限访问系统。
概念先解¶
| 术语 | 说明 |
|---|---|
| IdP(身份提供商) | 企业内部的统一认证系统,如 Azure AD、Okta、OneAuth、Keycloak、钉钉、企业微信、自建 LDAP 等 |
| SP(服务提供商) | 观测云平台,作为服务接收方 |
| 角色映射 | 根据 IdP 返回的用户属性(如部门、职位、用户组),自动分配观测云的角色权限 |
| Entity ID | SAML 协议中,观测云作为 SP 的唯一标识符 |
| ACS URL | Assertion Consumer Service URL,SAML 登录成功后 IdP 向观测云提交断言的地址 |
功能特性¶
-
IdP 支持:单个工作空间最多可配置 10 个身份提供商,兼容企业内部不同认证体系;
-
跨空间免登:同一身份提供商授权的用户,在登录态有效期内可选择跳转其他已授权空间,无需重复认证;
-
动态权限:通过角色映射实现基于用户属性的精细化权限控制;
-
自动账号绑定:SSO 首次登录时,若邮箱与现有观测云账号一致,自动绑定并保留历史数据。
快速开始¶
配置入口¶
进入管理 > 成员管理 > SSO 管理 > 用户 SSO。
选择您的协议类型¶
| 协议 | 适用场景 | 开始配置 |
|---|---|---|
| SAML 2.0 | 企业已有 Azure AD、ADFS、Okta、OneAuth、Keycloak 等标准 SAML 服务 | 查看 SAML 配置指南 |
| OIDC/OAuth 2.0 | 企业使用自建认证系统或现代云 IdP | 查看 OIDC 配置指南 |
角色映射¶
实现基于用户属性的动态权限分配。
查看如何开始配置角色映射。
管理 SSO 配置¶
列表操作¶
添加身份提供商后,您可以通过以下操作对 SSO 配置进行管理。
| 操作 | 说明 | 风险提示 |
|---|---|---|
| 编辑 | 修改配置信息、启用/禁用状态 | 会影响现有 SSO 成员的登录体验,建议在非工作时间操作 |
| 删除 | 移除该身份提供商 | 相关成员将无法通过此方式登录,请提前通知并确认成员已有其他登录方式 |
| 导出 | 导出为 JSON 文件 | 文件名不能与当前空间其他 IdP 重名,便于快速复制到其他工作空间 |
| 导入 | 从 JSON 文件快速创建 | 需符合格式规范,建议先导出一份作为模板 |
查看 SSO 成员¶
- 成员数量:显示所有通过 SSO 登录的成员总数;
- 成员名单:点击成员数量,可查看具体已授权的 SSO 成员名单。
通知机制¶
以下操作会触发邮件通知至工作空间的 Owner 和 Administrator:
- 新增/启用 SSO 配置
- 修改关键配置(域名、角色映射规则)
- 删除 SSO 配置