集成 · SSO 接入

把 Evose 接入企业身份系统。当前阶段支持 OAuth + 邮箱并行,LDAP / AD / SAML / MFA 在路线图中。

当前支持

方式	状态	适合
邮箱 + 密码	✓	默认
OAuth 2.0	✓	多数 IDP(Google / 飞书 / 钉钉 / 自建 IDP)
LDAP / AD	路线图	传统企业 IT
SAML 2.0	路线图	大型企业 / 金融
MFA	路线图	强合规场景

OAuth 接入

1 · 在 IDP 创建 App

回调 URL:

https://evose.example.com/api/auth/oauth/callback

记录:

Client ID
Client Secret
Authorization URL
Token URL
UserInfo URL

2 · 在 Evose 配置

[组织 · 设置 · 认证] → 添加 OAuth IDP:

名称: 公司 SSO
Client ID: ...
Client Secret: ...
Authorization URL: https://idp.example.com/oauth/authorize
Token URL: https://idp.example.com/oauth/token
UserInfo URL: https://idp.example.com/oauth/userinfo
Scope: openid profile email
邮箱字段: email
姓名字段: name

3 · 用户字段映射

# IDP 返回的 userinfo
{
  "sub": "u-12345",
  "name": "张三",
  "email": "zhangsan@example.com",
  "department": "营销"
}
 
# 映射到 Evose
- email      ← email
- name       ← name
- department ← department(若 IDP 未返回,登录后再分)

4 · 限制邮箱域名

组织信息配置 evose.example.com,只有这个域的用户能进。

5 · 测试

新开浏览器访问登录页 → 选 SSO → 跳转 IDP 授权 → 回到 Evose。

自动配置部门 / 角色

在 OAuth 映射中可以读取自定义字段（如 department / groups),自动:

加入对应部门
分配对应角色

default_role_mapping:
  - if: groups contains "engineering"
    role: 应用搭建者
  - if: department == "财务"
    role: 财务审计
  - default: 默认角色

邮箱与 SSO 共存

允许同时启用，适合:

公司外的合作伙伴（用邮箱)
公司内员工（用 SSO)

同一邮箱不要分两次注册

SSO 与邮箱注册的同一邮箱，系统按邮箱自动合并为同一账号。

故障排查

现象	检查
跳转后 `redirect_uri_mismatch`	IDP 配置的回调 URL 是否与 Evose 实际域名一致
`invalid_scope`	IDP 是否启用了 `openid profile email`
登录成功但部门没分	UserInfo 是否真的返回 department 字段
MFA 进不去	当前 Evose MFA 在路线图，只能依赖 IDP 自身 MFA

接下来

模型供应商接入 → 模型供应商
集中凭据 → 凭据管理

集成 · SSO 接入

页面导航