AnyInt Docs
企业

安全与 SSO

企业客户通常需要比单一仪表板登录所能提供的更强的身份和访问控制。

企业客户通常需要比单一仪表板登录所能提供的更强的身份和访问控制。

当前企业安全主题

主题控制什么
SSO通过客户自己的身份提供商做集中身份认证
会话管理用户保持登录多久,以及何时必须重新认证
IP 允许列表启用后限制可访问管理界面的网络位置
key 限制哪些 key 可用于哪些团队、项目或工作负载
便于审计的边界明确成员、key、计费和策略变更的归属

当前产品计划中的 SSO 支持

支持的协议:

协议说明
SAML 2.0支持 Azure AD、Okta 和 OneLogin 等主流企业 IdP
OIDC基于标准 OpenID Connect 的 SSO

典型配置输入

输入说明
SSO 状态启用、禁用或分阶段上线
协议根据身份提供商选择 samloidc
IdP URL身份提供商登录或 metadata URL
实体 ID 或 Client ID取决于所选协议
X.509 证书SAML 流程需要
管理员负责人负责测试和回滚的人

业务规则

  • SSO 配置是管理员级控制
  • 除非组织强制执行仅限 SSO 访问,否则密码登录可以继续可用
  • SSO 上线前应包含连接测试步骤
  • 上线期间保留至少一条归属清晰的管理员恢复路径

上线顺序

  1. 确认协议和身份提供商 metadata。
  2. 为测试组或受控管理员集合配置 SSO。
  3. 测试登录、登出、会话超时和登录失败行为。
  4. 强制前确认备用登录策略。
  5. 向用户沟通强制日期和支持路径。
  6. 只有测试路径成功后,才启用更强的强制策略。

会话控制

企业环境通常需要:

  • 会话超时策略
  • 强制重新认证
  • 可选的单会话强制策略

客户检查清单

上线前,请确认协议、IdP 元数据、管理员负责人、备用登录策略和测试计划。

常见错误

错误风险
在测试管理员登录前强制 SSO组织负责人可能把自己锁在外面
忘记回滚或恢复负责人支持团队无法快速确认谁能批准变更
把 SSO 当作 API key 安全控制台登录和 API key 保管是不同控制点
身份变更后仍保留旧 key离职用户或旧系统可能仍持有可用凭据

On this page