租户添加应用 SOP
本文档用于指导管理员在当前租户下添加应用,并为后续访问治理和联调准备基础配置。
适用场景
- 在当前租户下新增应用
- 调整应用协议、回调地址和访问控制开关
- 为联调准备测试账号、授权范围和负责人信息
前置条件
- 已登录
TenantManager - 已确认当前操作租户
- 已准备应用标识、协议类型、回调地址和负责人信息
操作入口
TenantManager应用列表页- 应用创建页和
Access Assignments入口 - 需要深入接入联调时结合 租户接入与联调
操作步骤
1. 确认协议类型与接入目标
- 先判断应用走
OIDC还是SAML - 确认是否需要开启
enforceAccessAssignments - 准备
clientId、负责人、回调地址和退出回调地址
2. 进入应用创建或编辑页
- 从应用列表点击
Create进入应用创建页 - 填写基础信息和接入参数,确认租户上下文正确
3. 保存应用并补访问治理
- 保存应用后进入编辑页
- 如该应用不应对所有用户开放,继续配置
Access Assignments
4. 做联调前最小检查
- 核对回调地址、测试账号、访问范围和应用状态
- 使用一个已授权账号完成最小登录验证
关键字段建议
clientId:与接入方配置严格一致,避免环境混用displayName:用于后台和结果视图识别tenantId:普通租户管理员无需显式指定,后端会以当前租户为准clientType:浏览器或公开客户端通常用Public,服务端保密客户端通常用ConfidentialprotocolType:常见为OIDC,如需SAML再切换redirectUris/postLogoutRedirectUris:必须与实际环境完整一致enforceAccessAssignments:开启后,只有被明确分配的主体才能访问应用
操作步骤
- 打开
TenantManager应用列表页,点击Create - 填写应用基础信息和协议参数
- 点击
Save,系统会调用POST /api/application/create创建应用并归属到当前租户 - 进入应用编辑页,确认租户、协议、负责人和摘要信息
- 如需控制访问范围,继续进入 应用访问分配 SOP
- 使用测试账号完成最小联调验证
管理 API 与行为映射
- 创建应用:
POST /api/application/create - 新增访问分配:
POST /api/application-access/create - 更新访问分配:
POST /api/application-access/update - 删除访问分配:
DELETE /api/application-access/delete - 查看应用治理摘要:
GET /api/application-access/summary - 查看用户有效应用:
GET /api/application-access/effective/user
默认行为提醒:
- 普通租户管理员创建应用时,后端会自动把应用归属到当前租户
- 只有系统管理员才可以显式指定
tenantId - 开启
enforceAccessAssignments后,应用访问会在认证授权流程中校验主体是否已被分配
成功判断
- 应用已归属到正确租户
- 关键接入参数保存成功
- 应用访问治理与测试路径已准备完成
失败排查
- 应用保存失败时,先检查
clientId、回调地址和租户上下文 - 用户进不去应用时,先区分是登录失败、访问分配缺失还是应用内权限不足
SAML相关问题优先查看 租户 SAML 联调与证书治理- 联调时回不来应用,优先检查回调地址、环境域名和协议类型是否与接入方一致
相关文档
返回 租户运营配置文档