配置管理
单点登录配置
Crest 单点登录配置流程、回调地址、字段映射和排查方法。
Crest 支持与企业身份系统集成。配置单点登录前,应先确认身份提供方协议、回调地址、用户唯一标识、组织映射和退出策略。
入口:系统管理 → 单点登录。
配置前准备
| 项目 | 说明 |
|---|---|
| 协议类型 | 确认使用 OIDC、OAuth2、Casdoor 或其他兼容方式 |
| Crest 访问地址 | 必须是用户真实访问的域名和协议 |
| 回调地址 | 身份提供方授权后跳回 Crest 的地址 |
| Client ID | 身份提供方分配给 Crest 的应用 ID |
| Client Secret | 身份提供方分配给 Crest 的密钥 |
| 用户标识字段 | 建议使用稳定唯一字段,例如账号、邮箱或工号 |
| 默认角色 | 首次登录用户应授予的最小权限 |
推荐配置流程
在身份提供方创建应用
创建 Crest 应用,填写授权回调地址、退出地址和允许的授权范围。
获取应用凭据
记录 Client ID、Client Secret、Issuer、授权地址、Token 地址和用户信息地址。
在 Crest 填写单点登录参数
在单点登录页面选择协议类型,并填写身份提供方参数。
配置字段映射
将身份提供方返回的账号、姓名、邮箱、手机号等字段映射到 Crest 用户字段。
使用测试账号验证
先用低权限测试账号登录,确认用户创建、角色、菜单和资源权限。
小范围开放
选择一个业务小组试运行,确认无问题后再开放给全部用户。
回调地址注意事项
回调地址必须和身份提供方登记的地址完全一致,常见差异包括:
http和https不一致。- 域名和 IP 混用。
- 端口不一致。
- 末尾路径不一致。
- 反向代理转发后 Crest 感知到的协议不一致。
如果 Crest 部署在 Nginx 或 Ingress 后面,要确保转发了 X-Forwarded-Proto 和 Host,否则可能出现回调地址生成错误。
用户与权限策略
单点登录解决的是“谁可以登录”和“如何证明身份”,不等同于所有资源都自动可见。
| 场景 | 建议 |
|---|---|
| 首次登录自动创建用户 | 只授予默认最小角色 |
| 管理员用户 | 不通过默认角色自动授予,改为人工授权 |
| 组织映射 | 能稳定映射时再启用,不稳定时先手工维护 |
| 离职用户 | 优先在身份提供方禁用,同时在 Crest 回收角色 |
| 外部用户 | 单独角色、单独资源范围、单独分享策略 |
排查方法
| 现象 | 可能原因 | 处理 |
|---|---|---|
| 点击 SSO 后跳转失败 | 授权地址、Issuer 或网络不通 | 检查身份提供方地址和网关访问 |
| 回调后提示错误 | 回调地址不一致 | 对比身份提供方登记地址和浏览器实际地址 |
| 用户登录后无菜单 | 默认角色或菜单权限未配置 | 在角色和权限页面补充授权 |
| 用户信息不完整 | 字段映射不正确 | 检查用户信息接口返回字段 |
| 本地账号无法登录 | 认证策略变更 | 保留至少一个应急管理员账号 |
保留应急登录方式
切换单点登录前,建议保留一个受控的本地管理员账号。身份提供方故障、证书过期或网络异常时,可以用它进入系统修复配置。