联邦与同步

本文档用于说明租户级外部身份源、SCIM 和同步状态的配置边界、健康检查入口与常见排障方向。

适用场景

• 需要为当前租户配置外部 OIDC / SAML 身份源
• 需要检查 SCIM Token、同步状态和最近失败
• 用户可见登录方式、联邦映射或同步结果异常

负责角色

• 租户管理员
• 实施支持
• 企业身份源对接负责人

核心边界

• 联邦和 SCIM 属于租户级高级配置项，应始终在当前租户范围内检查
• 平台支持能力、协议范围和全局基线由平台侧维护
• 深入运维排障时可结合 租户可观测性与健康检查 和 租户 MCP 运维入口

两类配置的职责差异

联邦登录

• 关注登录入口、provider 状态、显示顺序、映射规则和回跳行为
• 更适合处理“用户如何完成认证”的问题

SCIM 同步

• 关注 token、端点、过滤、字段更新和同步失败
• 更适合处理“用户和组如何被自动纳入租户”的问题

常见任务

• 配置外部 provider、登录页显示顺序和映射规则
• 检查 SCIM 是否启用、token 是否轮换、同步是否连续失败
• 判断问题出在认证、映射、租户状态还是对象范围

推荐检查顺序

1. 先确认当前租户是否真的需要联邦或 SCIM
2. 再确认当前 provider 或 SCIM 是否处于启用状态
3. 联邦问题优先看入口可见性、参数正确性和回跳结果
4. SCIM 问题优先看 token、端点和最近失败摘要
5. 如仍无法定位，再结合运维健康页、审计和 MCP 工具深挖

联邦配置关注点

• provider 是否启用
• 登录页是否对当前租户可见
• 登录顺序是否符合品牌和交付预期
• issuer、客户端参数、元数据或证书是否完整
• 最近失败、绑定冲突和映射规则摘要是否有明显异常

SCIM 配置关注点

• provisioning 与 SCIM 总开关是否开启
• token 是否已配置、最近轮换时间是否可追溯
• Users / Groups 端点是否能被调用方正确访问
• 最近失败是认证失败、字段冲突、租户禁用还是对象同步失败
• 用户来源类型是否允许该字段被 SCIM 更新

常见故障模式

• 登录页看不到外部登录按钮
• 外部登录能跳转但回不来
• SCIM token 已轮换，但调用方仍在使用旧 token
• SCIM 创建用户成功，但关键字段更新被 mutability 拒绝
• 联邦映射或自动绑定结果与预期不一致

相关 SOP

• 配置联邦 SOP
• 配置 SCIM SOP
• 处理登录失败 SOP
• 租户接手检查清单

升级判定

以下情况建议尽快升级：

• 多个租户的联邦或 SCIM 同时失败
• 当前问题需要修改平台级 provider 能力或宿主配置
• 证书、元数据或全局准入规则超出租户管理员职责范围

延伸阅读

• 配置联邦 SOP
• 配置 SCIM SOP
• 处理登录失败 SOP
• 租户可观测性与健康检查

返回 租户运营配置文档