单点登录管理
Crest 管理员配置和维护单点登录的操作说明。
单点登录把 Crest 接入企业统一身份平台。管理员需要同时关注身份认证、用户创建、默认角色、异常登录和应急账号。
入口:系统管理 → 单点登录。
单点登录页面用于维护身份提供方参数。截图中的配置项通常对应企业身份平台中的应用信息。填写时要一项一项和身份平台核对,尤其是回调地址、Client ID、Client Secret、用户标识字段和默认角色。
截图里的每一类参数都要能在身份平台中找到来源。管理员配置时建议打开两个页面对照:左侧是 Crest 单点登录设置,右侧是企业身份平台的应用详情。任何一个地址、协议、域名、路径或字段名不一致,都可能导致登录跳转失败、回调失败或用户重复创建。
管理员需要确认的事项
| 项目 | 说明 |
|---|---|
| 身份提供方 | 企业使用的认证平台,例如 OIDC、OAuth2、Casdoor 等 |
| 应用凭据 | Client ID、Client Secret、Issuer、授权地址、Token 地址 |
| 回调地址 | 必须与 Crest 实际访问地址一致 |
| 用户映射 | 账号、姓名、邮箱、手机号等字段 |
| 默认角色 | 首次登录用户获得的最低权限 |
| 应急账号 | SSO 异常时可使用的本地管理员账号 |
配置前还要确认“谁负责哪一段”。身份平台参数通常由 IAM 或运维团队维护,Crest 默认角色由平台管理员维护,域名和 HTTPS 由基础设施团队维护。把责任边界说清楚,比配置出错后再互相排查要高效得多。
配置步骤
在身份平台创建应用
填写 Crest 名称、访问地址、回调地址和授权范围。
在 Crest 填写参数
将身份平台提供的地址、Client ID、Client Secret 填入单点登录页面。
配置字段映射
明确用户唯一标识字段,避免同一用户被重复创建。
配置默认角色
默认角色只给最小可用权限。高权限角色必须人工审批。
测试登录
使用普通测试账号验证登录、用户信息、菜单和资源范围。
开放使用
先小范围试运行,再推广到全部用户。
示例:上线前试运行
SSO 不建议配置完成后直接全员开放。建议先用一个测试用户和一个业务用户试运行:
- 在身份平台中给测试用户授权 Crest 应用。
- 在 Crest 中配置默认低权限角色。
- 使用测试用户登录,检查是否自动创建用户。
- 查看用户姓名、邮箱、组织字段是否正确。
- 检查菜单权限是否只包含预期范围。
- 退出后再次登录,确认不会重复创建账号。
- 保留本地管理员账号,确认 SSO 故障时仍能进入系统。
试运行通过后,再逐步开放给业务团队。开放当天建议安排管理员值守,重点观察登录失败、用户重复、无菜单、默认角色过大等问题。
试运行记录建议包含:
| 检查项 | 记录内容 |
|---|---|
| 测试账号 | 账号、姓名、邮箱、组织字段是否正确 |
| 首次登录 | 是否自动创建用户,默认角色是否正确 |
| 再次登录 | 是否复用同一用户,不重复创建 |
| 菜单权限 | 是否只出现该角色允许访问的菜单 |
| 资源权限 | 是否只能看到被授权资源 |
| 应急登录 | 本地管理员是否仍可进入系统 |
默认角色建议
| 用户类型 | 默认角色 |
|---|---|
| 内部普通用户 | 业务查看者或无资源默认角色 |
| BI 开发人员 | 不建议自动授予,人工加入分析开发者角色 |
| 管理员 | 不自动授予,必须人工授权 |
| 外部用户 | 单独角色,禁止系统管理和数据源权限 |
应急处理
SSO 异常时,管理员应先确认是否是身份平台故障、网络故障、证书过期、回调地址错误或 Client Secret 变更。
建议保留:
- 一个受控的本地管理员账号。
- 当前 SSO 参数备份。
- 身份平台应用负责人联系方式。
- 回滚到本地登录的操作记录。
常见问题
| 问题 | 处理 |
|---|---|
| 登录后用户重复 | 检查唯一标识字段是否稳定 |
| 登录后没有菜单 | 检查默认角色和菜单权限 |
| 只有部分用户能登录 | 检查身份平台应用授权范围 |
| 回调地址错误 | 检查域名、HTTPS、代理头和身份平台配置 |
| SSO 故障无法进入系统 | 使用应急本地管理员账号修复配置 |
上线后巡检
SSO 上线后,建议在第一周每天看一次登录相关反馈。重点关注三类问题:
- 新用户能登录但没有菜单,通常是默认角色过小或未绑定资源。
- 用户信息不完整,通常是字段映射没有覆盖姓名、邮箱或组织。
- 部分人登录失败,通常是身份平台应用授权范围或账号状态问题。
稳定运行后,可以把 SSO 配置纳入月度巡检:确认 Client Secret 未过期、证书未过期、回调地址仍是当前生产域名、应急账号仍可用。