企业 SSO
企业 SSO 让用户先通过客户自己的身份提供商完成认证,再进入 FactVerse。这样可以减少重复账号管理,并让用户生命周期、密码策略、条件访问和身份安全要求与客户 IT 治理保持一致。
本页用于 SSO 规划、配置检查、验收测试和支持交接。API 级单点登录回调细节请保留给集成团队查看 SDK / SSO 参考。
规划流程
输入信息
| 输入 | 负责人 | 说明 |
|---|---|---|
| FactVerse 环境 URL | 项目管理员 | 使用用户实际访问的生产、预发布、私有云或本地部署地址。 |
| 身份提供商 | 客户 IT | 可根据部署选择 Microsoft Entra ID、Okta、Ping Identity、Keycloak 或其他企业 IdP。 |
| 协议和元数据 | 客户 IT 与 DataMesh 项目团队 | 确认 SSO 模式、元数据交换、证书、回调地址和登出行为。 |
| 用户标识 | 客户 IT | 邮箱、用户名、员工号或其他稳定 claim 需要能映射到 FactVerse 用户。 |
| 租户和角色 | 租户管理员 | SSO 只证明身份,FactVerse 角色仍决定可执行操作。 |
| 测试用户 | 客户 IT 与业务负责人 | 覆盖普通用户、管理员、禁用用户和缺少角色的用户。 |
配置检查
| 范围 | 确认项 |
|---|---|
| 域名和跳转 | FactVerse URL、回调 URL、允许域名和跳转行为与部署一致。 |
| 证书或密钥 | 签名证书、client secret 或等效凭据按客户策略存储和轮换。 |
| Claims | 必需身份 claim 存在且稳定。 |
| 租户映射 | 认证后的用户能映射到正确租户和项目范围。 |
| 角色映射 | 用户角色在 FactVerse 或批准的开通流程中分配。 |
| 错误处理 | 支持团队知道如何收集 IdP 错误、FactVerse 错误、时间戳和测试用户。 |
验证步骤
- 打开目标 FactVerse 环境。
- 从 FactVerse 登录页或客户门户发起 SSO。
- 在企业身份提供商完成认证。
- 确认用户返回 FactVerse,且没有跳转循环。
- 确认显示的身份与预期用户一致。
- 确认用户能进入目标租户。
- 确认产品导航和首个任务符合分配角色。
- 使用不应有权限的用户复测,确认访问被清晰拒绝。
支持交接
生产支持需要记录:
- 身份提供商名称和支持负责人;
- FactVerse 环境 URL 和回调 URL;
- 用于映射的用户标识 claim;
- 角色开通路径;
- 证书或密钥轮换负责人;
- 客户批准的测试账号或测试流程;
- IdP 故障、账号禁用、租户访问错误的升级路径。
常见问题
| 现象 | 优先检查 |
|---|---|
| 用户在 IdP 和 FactVerse 之间循环跳转 | 回调 URL、Cookie 策略、浏览器限制或环境不匹配。 |
| 认证成功但无法进入租户 | 租户成员或用户映射。 |
| 进入租户后产品不可见 | 角色、产品包或项目范围。 |
| 部分用户可用,部分用户失败 | 用户 claim、组分配、条件访问或账号禁用状态。 |
| API SSO 集成失败 | 来源标识、token 有效期、回调参数或集成参考。 |