跳转至

常见问题

配置前准备

不确定公司该用 SAML 还是 OIDC,如何选择?

先确认您的身份提供商(IdP)类型:

  • 如果是 Azure AD、Okta、OneAuth、Keycloak 等标准企业身份管理产品,通常两者都支持,建议优先选择 SAML,配置更简单(只需上传元数据 XML);

  • 如果是自建系统开发者平台(如 Authing、Auth0),可能只支持 OIDC,选择 OIDC 即可;

  • 如果不确定,联系您的 IT 管理员确认 IdP 支持的协议类型。

IdP 要求先提供 SP 的 Entity ID 和回调地址才能创建应用,但观测云要求先上传 IdP 元数据,怎么办?

使用临时地址先行配置:

  • Entity ID:https://auth.guance.com/saml/metadata.xml

  • 断言地址(ACS URL):https://auth.guance.com/saml/assertion

在 IdP 中填入上述临时地址,下载元数据 XML 后在观测云创建身份提供商,创建成功后再获取真实的 Entity ID 和断言地址,回到 IdP 中替换即可。

配置过程中

上传 IdP 元数据后,观测云提示“解析失败”或“格式错误”。

检查以下几点:

  1. 确认下载的是 SAML 元数据 XML,不是证书文件或其他格式;

  2. 检查 XML 文件是否完整,有时从 IdP 下载的文件可能被浏览器截断,建议用"另存为"方式下载;

  3. 确认 IdP 中已配置好 Entity IDACS URL,空白配置的元数据可能缺少关键字段;

  4. 如果使用的是自签名证书,确保证书未过期。

OIDC 配置时,“身份提供商 URL” 应该填什么?

填写 IdP 的 Issuer URL(服务发现地址),常见格式:

  • Keycloak:https://keycloak.example.com/realms/<realm-name>

  • Authing:https://<app-id>.authing.cn/oidc

  • Auth0:https://<tenant>.auth0.com/

  • 自建 OIDC:https://auth.example.com

填写后观测云会自动发现 .well-known/openid-configuration 端点。如果提示“无法获取配置”,可能是 URL 错误或 IdP 未启用发现服务,此时需要切换到非标准 OIDC 配置手动填写端点。

OIDC 的映射配置中,“用户名”字段填什么?

这取决于您的 IdP 返回的用户信息字段名,常见对应关系:

IdP 类型 用户名字段 邮箱字段 手机号字段
Keycloak preferred_username email phone_number
Authing nameusername email phone
Auth0 name email phone_number
自建系统 根据实际返回填写 email 根据实际返回填写

如果不确定,可以在 IdP 中测试获取用户信息,查看返回的 JSON 字段名。

配置角色映射时,“属性字段”和“属性值”怎么填?

这取决于您的 IdP 在用户认证时返回的属性。例如:

场景:按部门分配角色

  • IdP 返回用户属性:{"department": "技术部", "role": "admin"}

  • 观测云配置:

    • 属性字段:department

    • 属性值:技术部

    • 分配角色:标准成员

场景:按用户组分配角色

  • IdP 返回用户属性:{"groups": ["admin", "developer"]}

  • 观测云配置:

    • 属性字段:groups
    • 属性值:admin(支持多个值用逗号分隔,如 admin,developer
    • 分配角色:管理员

属性字段名必须与 IdP 返回的完全一致(区分大小写)。

登录问题

能成功跳转到 IdP 登录页,但登录后返回观测云提示“无法获取用户信息”(OIDC)?

检查以下几点:

  1. 映射字段错误:确认“邮件”映射字段与 IdP 实际返回的字段名一致(常见错误是填了 mail 但 IdP 返回的是 email);

  2. Scope 缺失:确保 email 在授权请求 Scope 中,且 IdP 同意返回邮箱信息;

  3. 用户信息端点错误:如果是非标准 OIDC,检查配置文件中 userinfo_endpoint 是否正确;

  4. Token 解析失败:确认 IdP 使用的签名算法是 HS256,观测云目前不支持 RS256

SAML 登录成功,但用户角色不对

检查角色映射配置:

  1. 确认角色映射功能已启用(开关状态);

  2. 检查用户的属性在 IdP 中是否正确返回(可通过浏览器开发者工具查看 SAML 断言,或使用 SAML 调试工具);

  3. 确认“属性字段”和“属性值”与断言中的完全一致;

  4. 如果用户应该匹配多条规则,确认是否按预期分配了最高权限角色。

SSO 登录后,用户能看到多个工作空间,但切换时提示“无权限”?

这是因为:

  1. 用户通过 IdP A 登录了工作空间 1;

  2. 工作空间 2 也配置了同一个 IdP A,但角色映射规则不同

  3. 用户切换到工作空间 2 时,观测云重新校验角色映射,发现用户不匹配工作空间 2 的规则。

此时,需要确保同一 IdP 在所有工作空间中的角色映射规则一致,或为跨空间用户配置通用的映射规则(如统一的用户组标识)。

用户管理

员工离职后,如何彻底禁止其通过 SSO 登录观测云?

需要同时在两个地方删除

  1. IdP 侧:删除或禁用该员工的账号,使其无法通过企业认证;

  2. 观测云侧:进入 管理 > 成员管理 > SSO 管理,点击 SSO 成员数量,找到该用户并删除。

如果只删除观测云侧,员工仍可通过 SSO 登录(会自动重新创建账号);如果只删除 IdP 侧,员工可能仍保留观测云的登录态直到会话过期。

SSO 用户如何修改在观测云显示的用户名?

SSO 用户的用户名由 IdP 返回的映射字段决定,无法在观测云侧直接修改。如需修改:

  1. 在 IdP 中修改用户的对应属性(如 preferred_usernamename

  2. 用户重新登录观测云,即可同步更新

如果需要在观测云显示不同的名称,建议联系 IdP 管理员调整属性映射,或在观测云启用角色映射时,使用不影响显示名称的字段(如用户组)进行权限控制。

能否让部分员工用 SSO 登录,部分员工用普通账号密码登录?

可以。观测云支持混合登录模式

  • SSO 管理 中配置 IdP 和域名限制;

  • 未匹配 SSO 域名的用户仍可通过 观测云账号密码手机号验证码 登录;

  • 匹配 SSO 域名的用户会被引导至 IdP 登录。

需要注意,同一邮箱不能同时使用两种方式。如果邮箱已绑定 SSO,则无法再用该邮箱注册观测云本地账号。

多 IdP 与跨空间

公司收购了另一家公司,有两个不同的 Azure AD,能否都配置到同一个观测云工作空间?

可以。观测云单个工作空间最多支持 10 个 IdP。配置方式:

  1. 分别添加两个 Azure AD 作为独立的身份提供商;

  2. 配置各自的邮箱域名(如 @company-a.com@company-b.com);

  3. 分别为两个 IdP 配置角色映射规则(规则可以不同)。

用户登录时,观测云根据邮箱域名自动匹配对应的 IdP。

能否实现“一次登录,访问多个工作空间”的真正的单点登录?

可以,但需要满足以下条件:

  1. 多个工作空间配置了同一个 IdP(或信任的多个 IdP);

  2. 用户在 IdP 中的会话保持有效(未过期);

  3. 用户在每个工作空间中都有有效的角色(通过角色映射或默认角色分配)。

满足条件后,用户登录任一工作空间,在会话有效期内可通过顶部工作空间切换器直接跳转其他空间,无需再次输入密码。

安全与合规

如何审计 SSO 用户的登录行为?

观测云提供以下审计能力:

  1. SSO 成员列表:查看通过各 IdP 登录的成员名单和最后登录时间;

  2. 操作审计:在管理 > 审计事件 中查看用户的操作记录(包括登录、登出、关键操作);

  3. 通知机制:SSO 配置变更时,Owner 和 Administrator 会收到邮件通知。

文档评价

文档内容是否对您有帮助? ×