租户 SAML 联调与证书治理

本文档用于说明当前租户视角下的 SAML 联调参数、证书治理入口和常见排障点，供租户管理员、实施支持和企业应用接入负责人直接使用。

适用场景

• 当前租户需要以 SAML 方式对接企业应用
• 需要核对 IdP Metadata、ACS、证书和最近 SAML 审计
• 需要轮换租户级 SAML 证书并验证联调结果

当前范围

当前版本已支持：

• 应用级 SAML SP 基础配置
• SP-initiated 与 IdP-initiated 登录
• IdP Metadata 导出
• SP Metadata 导入
• 租户级 SAML 签名证书治理视图
• 管理后台一键轮换租户级 SAML 签名证书
• 最近 SAML 审计事件和诊断提示查看

当前暂不覆盖：

• SLO
• 断言加密
• 更复杂的 NameID 策略扩展

管理入口

租户管理员可以在应用编辑页看到 SAML Certificate Governance 卡片。

卡片中通常会展示：

• 当前租户与应用的 SAML 基础参数
• 当前签名证书状态、有效期、指纹、路径和私钥状态
• 受信任 SP 签名证书列表
• 最近 SAML 审计事件
• 联调提醒与诊断信息

联调关键参数

在应用编辑页可以直接获取或确认以下参数：

• IdP Entity ID
• SP Entity ID
• Assertion Consumer Service
• IdP Metadata 地址
• SSO Endpoint
• IdP Initiated 地址
• Allowed Bindings
• Require Signed AuthnRequest

建议联调前至少确认：

1. SP Entity ID 与对方系统配置一致
2. ACS 地址与对方环境一致
3. 如果要求签名 AuthnRequest，已经录入受信任 SP 证书
4. 对方已经拿到最新 IdP Metadata 或最新签名证书

证书轮换

当前版本支持从应用编辑页直接执行 Rotate Certificate。

轮换后建议管理员立即执行：

1. 打开 IdP Metadata
2. 通知企业应用方重新拉取元数据或更新信任证书
3. 发起一次 SP-initiated 或 IdP-initiated 验证
4. 在审计列表中确认没有新的 SAML 失败事件

常见排障点

• 租户是否已经配置 IdP Entity ID
• 当前签名证书文件是否存在
• 当前签名证书是否已过期或即将过期
• 应用是否要求签名 AuthnRequest 但未配置受信任 SP 证书
• SP Metadata 是否已经导入，是否补齐 ACS / Entity ID / SP signing cert

审计与追踪

当前版本会在以下典型动作中留下 SAML 审计：

• IdP Metadata 导出
• SP Metadata 导入
• SAML 响应签发
• SAML 请求校验失败
• 租户级 SAML 证书轮换

排障时建议同时结合：

• 应用治理页中的 Recent SAML Audit Trail
• 租户可见的运维与健康检查入口
• 当前租户状态，确认目标租户未被禁用

相关文档

• 应用管理
• 租户添加应用 SOP
• 配置联邦 SOP
• 日常巡检与排障

返回 租户运营配置文档