登录、密码与 SSO

功能概述

登录与身份认证负责解决“进入平台的人是谁”。
它包括本地账号登录、密码治理、双因素认证和单点登录，是访问控制中的身份入口部分。

适用场景

这一页适合：

• 平台准备开放给更多内部或外部用户
• 需要提升账号安全等级
• 企业准备统一通过身份平台登录
• 要决定是否允许密码找回、双因素认证和本地登录

前置条件

开始前建议确认：

• 当前平台是否允许注册
• 邮件通道是否已经可用
• 是否已有企业身份系统
• 是否保留至少一个本地管理员账号

操作步骤

第 1 步：先确定平台的整体登录策略

先决定平台属于哪一类：

• 公开注册
• 邀请或审批制
• 企业内部统一身份制

这一步决定后面密码策略、找回流程和 SSO 的实施路线。

第 2 步：再梳理密码治理规则

当本地登录仍然保留时，需要明确：

• 用户是否可自行修改密码
• 是否允许忘记密码找回
• 是否启用复杂度、过期和失败锁定策略

不要一边允许本地登录，一边忽略密码治理。

第 3 步：评估是否启用 TOTP

如果平台中包含：

• 管理后台
• 敏感资料
• 高成本模型或关键业务能力

建议进一步启用 TOTP 作为第二道验证。

第 4 步：最后接入 SSO，并保留回退方案

当组织已有统一身份平台时，再接入 SSO。
这一步重点不是登录跳转，而是确认：

• 账号能否正确匹配
• 新用户如何创建
• 是否需要审批
• 本地登录是否作为兜底保留

第 5 步：分别测试 3 条链路

配置完成后，建议分别验证：

• 本地登录链路
• 双因素链路
• SSO 链路

三条链路都能跑通，身份认证体系才算真正完整。

结果验证

一套稳定的身份认证体系，至少应满足：

• 本地登录、密码修改和找回链路可用
• TOTP 启用后可以正常绑定和校验
• SSO 首次登录、已有账号匹配和异常回退都正常

常见问题

为什么 SSO 看起来接通了，但还是不能直接替代本地登录

因为接通只是第一步。
真正难点在账号映射、审批和异常回退。

为什么邮件通道没验证前不建议开放密码找回

因为一旦找回链路不可用，用户会直接被锁在系统外。

为什么 TOTP 不应一上来就全员强制

因为它涉及绑定、恢复和回退流程。
没有准备用户引导和支持流程时，强推会带来大量使用阻碍。

注意事项

• 先定整体登录路线，再补细节策略
• 在 SSO 没有完全验证前，不要关闭所有本地入口
• 身份认证和角色授权应一起设计，不要各自独立推进