企业
安全与 SSO
企业客户通常需要比单一仪表板登录所能提供的更强的身份和访问控制。
企业客户通常需要比单一仪表板登录所能提供的更强的身份和访问控制。
当前企业安全主题
| 主题 | 控制什么 |
|---|---|
| SSO | 通过客户自己的身份提供商做集中身份认证 |
| 会话管理 | 用户保持登录多久,以及何时必须重新认证 |
| IP 允许列表 | 启用后限制可访问管理界面的网络位置 |
| key 限制 | 哪些 key 可用于哪些团队、项目或工作负载 |
| 便于审计的边界 | 明确成员、key、计费和策略变更的归属 |
当前产品计划中的 SSO 支持
支持的协议:
| 协议 | 说明 |
|---|---|
| SAML 2.0 | 支持 Azure AD、Okta 和 OneLogin 等主流企业 IdP |
| OIDC | 基于标准 OpenID Connect 的 SSO |
典型配置输入
| 输入 | 说明 |
|---|---|
| SSO 状态 | 启用、禁用或分阶段上线 |
| 协议 | 根据身份提供商选择 saml 或 oidc |
| IdP URL | 身份提供商登录或 metadata URL |
| 实体 ID 或 Client ID | 取决于所选协议 |
| X.509 证书 | SAML 流程需要 |
| 管理员负责人 | 负责测试和回滚的人 |
业务规则
- SSO 配置是管理员级控制
- 除非组织强制执行仅限 SSO 访问,否则密码登录可以继续可用
- SSO 上线前应包含连接测试步骤
- 上线期间保留至少一条归属清晰的管理员恢复路径
上线顺序
- 确认协议和身份提供商 metadata。
- 为测试组或受控管理员集合配置 SSO。
- 测试登录、登出、会话超时和登录失败行为。
- 强制前确认备用登录策略。
- 向用户沟通强制日期和支持路径。
- 只有测试路径成功后,才启用更强的强制策略。
会话控制
企业环境通常需要:
- 会话超时策略
- 强制重新认证
- 可选的单会话强制策略
客户检查清单
上线前,请确认协议、IdP 元数据、管理员负责人、备用登录策略和测试计划。
常见错误
| 错误 | 风险 |
|---|---|
| 在测试管理员登录前强制 SSO | 组织负责人可能把自己锁在外面 |
| 忘记回滚或恢复负责人 | 支持团队无法快速确认谁能批准变更 |
| 把 SSO 当作 API key 安全 | 控制台登录和 API key 保管是不同控制点 |
| 身份变更后仍保留旧 key | 离职用户或旧系统可能仍持有可用凭据 |