认证排错
当用户、管理员或集成负责人报告无法登录、无法进入正确租户、看不到预期产品区域,或集成收到认证错误时,使用本页排查。
先区分认证和授权。认证回答“这个身份是否被接受”,授权回答“这个身份能否执行请求的任务”。
排查流程
需要收集的信息
| 信息 | 用途 |
|---|---|
| 用户身份 | 确认准确账号、邮箱、用户 claim 或服务身份。 |
| 环境 URL | 避免混淆生产、预发布、私有云或本地部署。 |
| 时间戳和时区 | 便于管理员比对 FactVerse 日志和 IdP 日志。 |
| 登录方式 | 密码登录、企业 SSO、客户端登录、API Key 或服务账号。 |
| 错误文字或截图 | 区分账号、跳转、租户、产品包或产品权限问题。 |
| 浏览器或客户端版本 | 登录行为可能受嵌入式浏览器、跳转、Cookie 策略或客户端版本影响。 |
| 第一个失败任务 | 判断问题属于登录、租户访问、导航还是产品权限。 |
常见现象
| 现象 | 优先检查 |
|---|---|
| 登录页无法打开 | 环境 URL、网络路径、DNS、VPN、代理、防火墙或服务可用性。 |
| 密码登录失败 | 账号状态、密码重置状态、租户策略,以及是否必须使用 SSO。 |
| SSO 反复跳转 | 回调 URL、浏览器 Cookie 策略、IdP 应用分配、域名不匹配或嵌入式 WebView 限制。 |
| SSO 成功但用户未知 | 用户标识 claim、账号开通、租户成员或用户映射。 |
| 能登录但没有租户 | 租户成员、项目分配、邀请状态或环境错误。 |
| 产品区域隐藏 | 角色包、产品权益、导航权限或项目范围。 |
| API 返回 unauthorized | API Key 值、endpoint 切片、Key scope、环境 URL、header 名称或 Key 已撤销。 |
| AI 工作流无法访问内容 | 工作流身份、服务账号 scope、产品权限、文件夹规则、数据集范围或文档分级。 |
排查步骤
- 确认环境 URL,以及问题发生在 Web、桌面、移动端还是 API。
- 确认身份和登录方式。
- 在支持流程允许的情况下,用同环境中已知可用账号对比测试。
- 对比用户的租户、项目、角色和产品包是否符合预期。
- 对 SSO,收集 IdP 应用分配、跳转时间和可见错误。
- 对 API Key,确认 Key 仍有效、scope 匹配 endpoint,并使用正确 header。
- 对具体产品任务失败,查看产品权限页面并检查对象级访问。
升级信息包
升级给 DataMesh 或客户 IT 团队时,请包含:
- 环境 URL;
- 用户或服务身份;
- 登录方式;
- 带时区的准确时间;
- 失败 URL 或 API endpoint;
- 错误消息或截图;
- 预期租户、项目、产品和任务;
- 最近的访问变更、角色变更、SSO 变更、证书轮换或 Key 轮换。