云屿SSO 配置
按登录策略、账号映射、测试验证和灰度切换的顺序接入企业单点登录。
功能概述
SSO 配置用于把企业现有身份系统接入 Clouisle。
它不仅决定用户能否通过统一入口登录,也影响账号创建、审批、权限分配和回退策略。
适用场景
SSO 适合:
- 企业内部统一身份登录
- 员工入离职需要同步访问权限
- 不希望长期维护大量本地账号
前置条件
开始前建议确认:
- 企业身份系统已经准备好
- 用户匹配规则已经确定,例如邮箱映射
- 至少保留一个可用的本地管理员账号
- 已经准备好测试账号和异常样例账号
操作步骤
第 1 步:进入站点设置中的 SSO 页面
管理员进入后台后,打开 站点设置,再进入 SSO 相关页面。
这里是所有单点登录策略的集中入口。
在真正修改前,先通读页面里已有配置,确认当前平台是否已经启用过 SSO。
第 2 步:先决定登录总策略
优先明确下面几个问题:
- 是否启用 SSO
- 是否保留密码登录
- 是否允许自动创建用户
- 是否需要审批
这一步决定的是平台切换到 SSO 后的整体路线,不建议边接入边临时决定。
第 3 步:配置账号映射规则
SSO 最关键的不是跳转能不能成功,而是登录后的账号如何落到平台里。
重点确认:
- 通过什么字段匹配已有账号
- 新用户第一次登录后是否自动建号
- 自动建号后是否需要审批
如果映射规则没想清楚,后面最容易出现重复账号、错绑账号或权限错配。
第 4 步:先用测试账号验证 3 类场景
不要一上来就切全员。
建议至少测试下面 3 类账号:
- 已有平台账号
- 首次登录的新账号
- 应被拒绝或需审批的异常账号
完成测试后,你应该能确认 SSO 不只是“能跳转”,而是真的能按预期落库和授权。
第 5 步:保留回退入口,再灰度切换
在全员切换前,建议先小范围启用。
同时保留一个本地管理员账号,避免在 SSO 配置错误时直接失去后台管理入口。
这一步是很多平台最容易忽略的风险点。
结果验证
SSO 配置完成后,至少应满足:
- 企业账号能成功登录平台
- 已有账号能正确匹配,不会重复创建
- 新账号的自动创建和审批逻辑符合预期
- 配置异常时仍保留管理员回退入口
常见问题
为什么 SSO 登录成功了,但平台里出现重复账号
通常是账号匹配字段配置不一致,例如邮箱规则没有对齐。
应先检查映射字段,再决定是否清理重复账号。
为什么不建议一开始就关闭密码登录
因为一旦 SSO 配置有误,管理员可能直接失去后台入口。
正确做法是先灰度验证,再逐步收紧本地登录。
为什么自动创建用户要谨慎开启
自动创建会提升接入速度,但如果没有审批或默认角色治理,容易把不该进入平台的用户直接放进来。
注意事项
- SSO 项目先做小范围验证,再推广到全部用户
- 登录策略、账号映射和权限分配要一起考虑,不能只看单点登录本身
- 任何时候都应保留一个可回退的管理员入口