实际上,海螺AI企业版接入企业统一身份认证遵循的是行业标准方案——它原生支持SAML 2.0和OIDC两种协议,无需私有Token或第三方定制方案。需准备好Issuer、端点地址以及JWKS URI,配置完成后,企业即可要求所有员工强制使用企业账号登录,无需再单独记忆海螺的本地密码。

简单来说,员工可以利用公司现有账号(如飞书、钉钉、Azure AD)一键登录海螺AI,无需重复验证,体验十分流畅。
海螺AI企业版SSO支持范围与能力确认
首先,明确海螺AI企业版SSO的能力边界。它仅支持SAML 2.0和OIDC这两个主流协议,不支持自定义Token,也不支持私有协议。如果您的企业IdP使用OAuth 1.0、CAS或LDAP直连,则无法直接对接,需要额外部署一层协议转换网关。
目前,v2.4.1及以上版本已在飞书、钉钉、Authing、Keycloak、Azure AD以及AD FS等常见生产环境中完成兼容性验证,可放心使用。特别提醒:OIDC配置中务必开启response_type=code和scope=openid profile email这两个参数,否则用户信息映射将直接失败。
海螺AI控制台启用OIDC SSO配置步骤
方法一:OIDC快速配置向导(推荐)
操作非常直观:登录海螺AI企业版管理后台,点击左侧【安全中心】,进入【单点登录】页签,点击【启用OIDC】,选择【自动配置】模式。然后跟随向导,填入IdP的Issuer URL、Client ID、Client Secret即可,系统会自动拉取JWKS URI和授权端点。只需将飞书开放平台应用凭证中的三项值直接粘贴进去即可完成。
方法二:手动输入OIDC参数
如果您更倾向于自行把控细节,可切换至【手动配置】模式。此时需逐项填写以下内容:
Issuer必须与IdP返回的/.well-known/openid-configuration中的issuer字段完全一致,大小写敏感,末尾斜杠也不能省略。Authorization Endpoint、Token Endpoint、Userinfo Endpoint的URL必须以https://开头。JWKS URI用于校验ID Token签名,若填写错误,所有登录请求将被拒绝——这一点尤为关键。
保存前,务必勾选【强制启用SSO】开关。一旦启用,所有用户将无法使用本地密码登录,仅保留「退出并切换账号」的入口。
在企业身份提供商(IdP)端注册海螺AI应用
以Authing为例,其他IdP操作逻辑类似:
- 进入Authing控制台,点击【应用】→【创建应用】→ 选择「OIDC应用」。
- 填写应用名称(如“海螺AI-v2”),回调地址(Callback URL)设为
https://your-hailuo-domain.com/auth/oidc/callback。该地址必须与海螺AI后台配置的Redirect URI严格一致,包括协议、域名、路径及末尾斜杠,缺一不可。 - 在【应用配置】中开启「允许隐式授权」和「允许PKCE」。
- 将海螺AI后台生成的Client ID填入Authing应用的「OIDC Client ID」字段。
- 复制Authing应用详情页中的「Issuer」和「JWKS URI」,返回海螺AI后台对应位置粘贴保存。
注意事项:如果您的企业使用飞书或钉钉作为IdP,在飞书开放平台的「单点登录」设置中,需将「登录成功后跳转URL」设为海螺AI的首页地址,而非callback地址。否则会触发二次重定向错误,导致登录失败。
验证SSO登录流程及用户属性映射配置
配置完成后,如何验证是否可用?打开一个无痕浏览器窗口,访问海螺AI的登录页,点击「企业账号登录」按钮,页面将自动跳转至企业IdP的登录页。输入企业域账号完成认证,页面将自动回跳到海螺AI首页。如果右上角正常显示您的企业邮箱和真实姓名,则代表配置成功。
若出现「用户未激活」或「权限不足」提示,排查方向有两个:第一,检查海螺AI后台【用户管理】→【同步策略】,确认「自动创建用户」是否开启;第二,确认IdP返回的email声明值与企业邮箱格式匹配——不能包含空格,也不能有中文字符,否则会被系统拒绝。
在用户属性映射方面,海螺AI默认使用email作为唯一用户标识,name用于展示姓名,groups数组用于角色分配。如果IdP未返回groups,则所有登录用户将被授予默认的成员角色,无法按部门进行分级授权。这一点在规划权限体系时尤其值得注意。
