企業 SSO 讓使用者先透過客戶自己的身分提供者完成驗證,再進入 FactVerse。這可以減少重複帳號管理,並讓使用者生命週期、密碼策略、條件式存取和身分安全要求與客戶 IT 治理保持一致。
本頁用於 SSO 規劃、配置檢查、驗收測試和支援交接。API 層級單一登入回呼細節請保留給整合團隊查看 SDK / SSO 參考。
規劃流程
輸入資訊
| 輸入 | 負責人 | 說明 |
|---|
| FactVerse 環境 URL | 專案管理員 | 使用使用者實際存取的生產、預發布、私有雲或本地部署位址。 |
| 身分提供者 | 客戶 IT | 可依部署選擇 Microsoft Entra ID、Okta、Ping Identity、Keycloak 或其他企業 IdP。 |
| 協定和 metadata | 客戶 IT 與 DataMesh 專案團隊 | 確認 SSO 模式、metadata 交換、憑證、回呼位址和登出行為。 |
| 使用者識別 | 客戶 IT | 電子郵件、使用者名稱、員工編號或其他穩定 claim 需要能映射到 FactVerse 使用者。 |
| 租戶和角色 | 租戶管理員 | SSO 只證明身分,FactVerse 角色仍決定可執行操作。 |
| 測試使用者 | 客戶 IT 與業務負責人 | 覆蓋一般使用者、管理員、停用使用者和缺少角色的使用者。 |
配置檢查
| 範圍 | 確認項 |
|---|
| 網域和跳轉 | FactVerse URL、回呼 URL、允許網域和跳轉行為與部署一致。 |
| 憑證或密鑰 | 簽章憑證、client secret 或等效憑據按客戶策略存放和輪換。 |
| Claims | 必需身分 claim 存在且穩定。 |
| 租戶映射 | 驗證後的使用者能映射到正確租戶和專案範圍。 |
| 角色映射 | 使用者角色在 FactVerse 或批准的開通流程中分配。 |
| 錯誤處理 | 支援團隊知道如何收集 IdP 錯誤、FactVerse 錯誤、時間戳和測試使用者。 |
驗證步驟
- 開啟目標 FactVerse 環境。
- 從 FactVerse 登入頁或客戶入口發起 SSO。
- 在企業身分提供者完成驗證。
- 確認使用者返回 FactVerse,且沒有跳轉循環。
- 確認顯示的身分與預期使用者一致。
- 確認使用者能進入目標租戶。
- 確認產品導覽和第一個任務符合分配角色。
- 使用不應有權限的使用者複測,確認存取被清楚拒絕。
常見問題
| 現象 | 優先檢查 |
|---|
| 使用者在 IdP 和 FactVerse 之間循環跳轉 | 回呼 URL、Cookie 策略、瀏覽器限制或環境不匹配。 |
| 驗證成功但無法進入租戶 | 租戶成員或使用者映射。 |
| 進入租戶後產品不可見 | 角色、產品包或專案範圍。 |
| 部分使用者可用,部分使用者失敗 | 使用者 claim、群組分配、條件式存取或帳號停用狀態。 |
| API SSO 整合失敗 | 來源識別、token 有效期、回呼參數或整合參考。 |