配置联邦 SOP

本文档用于指导管理员为当前租户配置或调整外部 OIDC / SAML 登录方式，并完成基本验证。

适用场景

• 为当前租户新增或调整外部 OIDC / SAML 登录方式
• 调整登录页外部 provider 顺序或可见性
• 联邦登录失败，需要先做租户侧配置检查

前置条件

• 已确认当前租户和目标身份源类型
• 已准备 issuer、客户端参数、证书或元数据等对接信息
• 已确认交付方和身份源负责人

操作入口

• TenantManager 的联邦治理页和租户编辑页
• 需要配合 SAML 证书和元数据检查时，参考 租户 SAML 联调与证书治理

操作步骤

1. 确认 provider 类型与登录范围

• 明确本次新增或调整的是 OIDC、SAML 还是已有 provider 的显示策略

2. 进入联邦治理入口

• 从租户配置或联邦页面进入 provider 管理视图

3. 填写关键参数并保存

• 录入必要接入信息，确认显示开关、排序和映射规则摘要

4. 做登录链路验证

• 使用测试租户和测试账号验证登录页展示与回跳行为

配置前确认

• 当前租户是否真的需要外部登录
• 对接方是否已提供 issuer、客户端参数、元数据或证书
• 是否需要对当前租户隐藏本地登录
• 是否已经明确 provider 显示顺序和责任人

操作步骤

1. 进入 TenantManager 的联邦治理页或租户编辑页中的联邦配置入口
2. 选择新增 provider，或编辑已有 provider
3. 录入必要参数
4. 核对以下内容：
   • provider 是否启用
   • 是否允许在当前租户登录页显示
   • 显示名称和排序是否符合交付要求
   • 映射规则、绑定策略和诊断摘要是否合理
5. 保存后，从登录页验证该入口是否按预期出现
6. 用测试账号完成一次实际跳转和回跳验证

OIDC / SAML 特别提醒

• OIDC 重点关注 issuer、客户端参数、redirect URI 和登录页显示
• SAML 重点关注元数据、证书、Entity ID、ACS 和 IdP Initiated / SP Initiated 入口
• 涉及 SAML 时，继续查看 租户 SAML 联调与证书治理

成功判断

• provider 状态、展示顺序和诊断状态正确
• 登录页可见入口符合预期
• 测试登录链路可完成或能定位到明确失败点

失败排查

• 登录页看不到入口时，先确认 provider 是否启用且允许当前租户显示
• 跳转失败时，先检查参数、回调地址和证书 / 元数据状态
• 深入问题继续查看 联邦与同步 和 处理登录失败 SOP
• 绑定或映射结果不对时，优先查看 provider 级映射规则摘要和最近失败

相关文档

• 联邦与同步
• 品牌与登录体验
• 租户 SAML 联调与证书治理
• 处理登录失败 SOP

返回 租户运营配置文档