配置 SAML 协议
配置路径:平台管理 → 单点登录 → 开启 → 设置 → 选中 SAML2.0 协议类型
配置 OIDC 协议
配置路径:平台管理 → 单点登录 → 开启 → 设置 → 选中 OIDC 协议类型
配置 CAS 协议
配置路径:平台管理 → 单点登录 → 开启 → 设置 → 选中 CAS 协议类型
配置 LDAP 协议
LDAP 单点登录仅私有化版本支持。
LDAP 连接检测
配置 LDAP 连接信息后,你可以点击设置抽屉底部的 连接检测 按钮,验证 Flashduty 能否成功连接到你的 LDAP 服务器。系统会使用当前填写的 LDAP 链接、BIND DN 和密码尝试建立连接,并返回连接成功或失败的结果。LDAP 角色和团队同步
当你使用 LDAP 协议时,可以根据用户所属的 LDAP Group 自动同步 Flashduty 中的角色和团队。 配置路径:LDAP 设置页面 → 同步配置1
启用同步
在同步配置区域,分别开启 同步角色 和/或 同步团队 开关。
2
添加映射规则
点击 添加映射规则,为每条规则配置以下内容:
3
配置默认角色
当同步角色开启时,你可以配置 默认角色。当用户的 LDAP Group 未匹配到任何映射规则时,系统将赋予这些默认角色。
- 你可以添加多条映射规则,每条规则对应一个 LDAP Group
- 用户登录时,系统会根据其 LDAP Group 成员关系自动匹配并同步对应的角色和团队
- 映射规则中的 Group DN 必须是 LDAP 中 Group 的完整路径
强制 SSO 登录
force_sso 选项用于强制账户内所有成员仅能通过 SSO 登录,从而把身份验证完全收敛到身份提供商。
配置路径:平台管理 → 单点登录 → 开启 → 设置 → 成员仅支持 SSO 登录
当成员在该选项开启后尝试使用密码或验证码登录时,登录接口会返回错误:
The target account requires SSO login. Switching via password session is not allowed.
与「禁止编辑外部成员」的区别
force_sso 控制的是登录方式——是否允许密码/验证码登录;sso_user_non_editable(禁止编辑外部成员)控制的是编辑权限——通过 SSO 同步创建的外部成员是否能在控制台中修改资料与角色。两者作用层面不同,可独立开启或关闭。
外部成员管理
当您启用单点登录后,通过 SSO 首次登录并自动创建的成员会被标记为外部成员。您可以在 SSO 设置中开启禁止编辑外部成员选项(默认关闭),启用后,这些外部成员在 Flashduty 中将变为只读状态——无法在 Flashduty 中修改其角色或删除该成员,所有成员信息的管理只能通过身份提供商完成。 此功能适用于需要统一在身份提供商中管理用户权限的场景,确保 Flashduty 中的成员信息始终与身份提供商保持一致。
- 该选项仅影响通过 SSO 创建的外部成员,手动邀请的成员不受影响
- 如果 SSO 配置被删除,已存在的外部成员将默认保持只读状态
登录域名管理
登录域名是识别您的主体账号的重要依据,用于单点登录时定位到正确的 SSO 配置。每个主体的登录域名全局唯一。 配置登录域名后,成员可以通过
{域名}.sso.flashcat.cloud 地址直接发起单点登录,无需手动选择身份提供商。
您可以在 平台管理 → 基本信息 页面修改主体账号的域名。修改域名时请注意,域名只能使用 5–40 位字母、数字或 -,且不能以 - 开头或结尾。
- 建议使用公司英文名称作为登录域名,便于记忆
- 登录域名一旦设置,变更后原域名将立即失效,使用旧域名的成员需要更新登录地址
最佳实践
Authing 集成
通过 Authing 配置 Flashduty SSO 单点登录
Keycloak 集成
通过 Keycloak 配置 Flashduty SSO 单点登录
OpenLDAP 集成
通过 OpenLDAP 配置 Flashduty SSO 单点登录