IDS Platform Ops Docs main platform-auth-integration-reference.md

平台接入与联调参考

文档目标

本文档用于承接平台侧原本分散在接入、SAML 联调和历史管理总览中的公开参考信息,帮助系统管理员、平台运营、实施支持和集成负责人先确认:平台当前支持什么、联调前要先核对什么、哪些内容属于平台侧、哪些内容应该转到租户侧或接入方继续处理。

适用范围

适合阅读本文档的场景:

  • 新系统接入前,需要判断平台能力与前置条件
  • 需要说明 OAuth2 / OIDC、外部 OIDC 联邦、SAMLSCIM 的平台边界
  • 需要在联调前统一核对回调地址、证书、治理入口和最小验证链路
  • 需要判断问题应留在平台文档,还是转到租户文档或接入方处理

本文档不展开:

  • SDK、代码接入步骤
  • 单租户内应用、用户、角色、权限的逐字段配置
  • 第三方产品控制台的详细操作

平台侧需要先确认什么

联调前,平台侧至少应先确认以下信息:

  • 目标租户、目标环境、应用负责人和联调负责人是否明确
  • 应用访问地址、回调地址或重定向地址是否与实际环境一致
  • 平台是否已支持本次要走的协议链路,以及当前版本是否存在已知限制
  • 应用是否已经完成平台侧登记,相关治理入口是否可见
  • 平台健康、认证入口和核心治理页当前是否可用

建议先走这条顺序:

  1. 先到 平台级认证与接入治理 判断能力边界。
  2. 再到 平台可观测性与健康检查 确认平台不是整体不可用。
  3. 如需辅助排障,再结合 平台 MCP 运维参考
  4. 最后再决定是继续留在平台侧,还是转给租户侧或接入方处理。

常见协议边界

OAuth2 / OIDC

平台当前已支持主链路认证授权能力,平台侧主要关注:

  • 应用登记是否完成
  • 访问地址与回调地址是否与环境一致
  • 认证入口是否可访问
  • 平台健康和令牌链路是否正常

外部 OIDC 联邦

平台侧主要关注:

  • 联邦能力是否在当前版本正式支持
  • 相关治理入口是否可见
  • 平台认证入口与租户联邦治理链路是否连通
  • 异常是否影响多个租户或公共入口

SAML

当前平台已支持:

  • 应用级 SAML SP 基础配置
  • SP-initiatedIdP-initiated 登录
  • IdP Metadata 导出
  • SP Metadata 导入
  • 租户级 SAML 签名证书治理视图
  • 后台一键轮换租户级 SAML 签名证书
  • 最近 SAML 审计事件和诊断提示查看

当前正式范围暂不覆盖:

  • SLO
  • 断言加密
  • 更复杂的 NameID 策略扩展
  • 更完整的兼容矩阵与模板库

平台侧联调前至少要确认:

  1. SP Entity ID 与对方配置一致。
  2. ACS 地址与目标环境一致。
  3. 若要求签名 AuthnRequest,已录入受信任 SP 证书。
  4. 对方已拿到最新 IdP Metadata 或最新签名证书。
  5. 应用治理页中的 SAML Certificate Governance 卡片可正常查看。

SCIM

平台侧主要关注:

  • 平台是否已支持当前租户所需的 Users / Groups 能力
  • 租户级 token 与治理入口是否存在
  • 当前异常是协议支持边界问题,还是单租户配置缺项
  • 是否存在多个租户共同受影响的信号

平台与租户 / 接入方的边界

以下问题通常继续留在平台侧:

  • 平台能力是否支持某协议或某类入口
  • 多租户共同受影响的认证、联邦、SAMLSCIM 异常
  • 平台健康、公共认证入口、全局治理页异常
  • 租户状态、禁用语义、跨租户边界相关问题

以下问题通常应转交租户侧或接入方:

  • 单租户应用的逐字段参数维护
  • 单租户品牌、联邦、SCIM 的具体配置补齐
  • 单一应用的业务权限设计、岗位角色设计或业务侧回调逻辑
  • 需要在租户内继续执行的用户、应用、访问分配动作

租户侧正式入口:

联调前最小检查清单

  • 目标租户、应用、环境和责任人已经明确
  • 平台健康检查正常,核心治理页可访问
  • 应用登记、访问地址、回调地址和证书信息已核对
  • 平台支持范围与当前版本限制已明确对外说明
  • 已确认下一步动作是平台侧处理、租户侧处理,还是集成方处理

关联文档