游乐游手机版
首页/AI热点日报/热点详情

海螺AI企业版如何配置SSO实现统一登录详解

类型:热点整理2026-07-06
海螺AI企业版原生支持SAML2 0和OIDC协议,通过配置Issuer、端点地址及JWKSURI实现SSO单点登录。v2 4 1及以上版本已兼容飞书、钉钉、Authing、Keycloak等主流身份提供商,强制启用后员工使用企业账号一键登录,无需记忆本地密码,显著提升登录便捷性与企业信息安全。

实际上,海螺AI企业版接入企业统一身份认证遵循的是行业标准方案——它原生支持SAML 2.0和OIDC两种协议,无需私有Token或第三方定制方案。需准备好Issuer、端点地址以及JWKS URI,配置完成后,企业即可要求所有员工强制使用企业账号登录,无需再单独记忆海螺的本地密码。

海螺AI企业版支持单点登录吗_通过配置SSO实现统一登录

简单来说,员工可以利用公司现有账号(如飞书、钉钉、Azure AD)一键登录海螺AI,无需重复验证,体验十分流畅。

海螺AI企业版SSO支持范围与能力确认

首先,明确海螺AI企业版SSO的能力边界。它仅支持SAML 2.0和OIDC这两个主流协议,不支持自定义Token,也不支持私有协议。如果您的企业IdP使用OAuth 1.0、CAS或LDAP直连,则无法直接对接,需要额外部署一层协议转换网关。

目前,v2.4.1及以上版本已在飞书、钉钉、Authing、Keycloak、Azure AD以及AD FS等常见生产环境中完成兼容性验证,可放心使用。特别提醒:OIDC配置中务必开启response_type=codescope=openid profile email这两个参数,否则用户信息映射将直接失败。

海螺AI控制台启用OIDC SSO配置步骤

方法一:OIDC快速配置向导(推荐)

操作非常直观:登录海螺AI企业版管理后台,点击左侧【安全中心】,进入【单点登录】页签,点击【启用OIDC】,选择【自动配置】模式。然后跟随向导,填入IdP的Issuer URL、Client ID、Client Secret即可,系统会自动拉取JWKS URI和授权端点。只需将飞书开放平台应用凭证中的三项值直接粘贴进去即可完成。

方法二:手动输入OIDC参数

如果您更倾向于自行把控细节,可切换至【手动配置】模式。此时需逐项填写以下内容:

Issuer必须与IdP返回的/.well-known/openid-configuration中的issuer字段完全一致,大小写敏感,末尾斜杠也不能省略。Authorization Endpoint、Token Endpoint、Userinfo Endpoint的URL必须以https://开头。JWKS URI用于校验ID Token签名,若填写错误,所有登录请求将被拒绝——这一点尤为关键。

保存前,务必勾选【强制启用SSO】开关。一旦启用,所有用户将无法使用本地密码登录,仅保留「退出并切换账号」的入口。

在企业身份提供商(IdP)端注册海螺AI应用

以Authing为例,其他IdP操作逻辑类似:

  • 进入Authing控制台,点击【应用】→【创建应用】→ 选择「OIDC应用」。
  • 填写应用名称(如“海螺AI-v2”),回调地址(Callback URL)设为https://your-hailuo-domain.com/auth/oidc/callback。该地址必须与海螺AI后台配置的Redirect URI严格一致,包括协议、域名、路径及末尾斜杠,缺一不可。
  • 在【应用配置】中开启「允许隐式授权」和「允许PKCE」。
  • 将海螺AI后台生成的Client ID填入Authing应用的「OIDC Client ID」字段。
  • 复制Authing应用详情页中的「Issuer」和「JWKS URI」,返回海螺AI后台对应位置粘贴保存。

注意事项:如果您的企业使用飞书或钉钉作为IdP,在飞书开放平台的「单点登录」设置中,需将「登录成功后跳转URL」设为海螺AI的首页地址,而非callback地址。否则会触发二次重定向错误,导致登录失败。

验证SSO登录流程及用户属性映射配置

配置完成后,如何验证是否可用?打开一个无痕浏览器窗口,访问海螺AI的登录页,点击「企业账号登录」按钮,页面将自动跳转至企业IdP的登录页。输入企业域账号完成认证,页面将自动回跳到海螺AI首页。如果右上角正常显示您的企业邮箱和真实姓名,则代表配置成功。

若出现「用户未激活」或「权限不足」提示,排查方向有两个:第一,检查海螺AI后台【用户管理】→【同步策略】,确认「自动创建用户」是否开启;第二,确认IdP返回的email声明值与企业邮箱格式匹配——不能包含空格,也不能有中文字符,否则会被系统拒绝。

在用户属性映射方面,海螺AI默认使用email作为唯一用户标识,name用于展示姓名,groups数组用于角色分配。如果IdP未返回groups,则所有登录用户将被授予默认的成员角色,无法按部门进行分级授权。这一点在规划权限体系时尤其值得注意。

来源:https://www.php.cn/faq/2630991.html?uid=969633

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。