单点登录配置

入口在哪

产品入口：工作台 → 组织与权限/单点登录配置；登录入口：/login/redirect 或 /login/do-redirect；中转服务入口：proinnova-sso。下图用于识别 SSO 配置页面。

操作步骤

1. 选择 SSO 策略：CAS、OAUTH2、PASSWORD_FREE、FEISHU 或基于业务表的 OAUTH2/CAS；未确认的 SAML/OIDC 不要选。

2. 配置回调地址，示例 https://<domain>/login/do-redirect，并在第三方身份源登记同一地址。

3. 配置字段映射：第三方用户标识映射到平台账号或邮箱，例如 email -> username、subsidiary -> space。

4. 保存后从无痕窗口发起 SSO 登录，确认第三方认证完成后能回到 DeepFOS 工作台。

如何验证配置成功

1. 正向校验 1：SSO 登录后浏览器回到 DeepFOS 工作台，而不是停留在第三方认证页。

2. 正向校验 2：平台成员列表能找到 SSO 返回的用户账号，并且用户已加入目标企业和空间。

3. 负向校验：如果第三方认证成功但平台无权限，先检查字段映射和成员归属，不要只改 SSO 密钥。

常见问题

问：平台是否支持 SAML？ 答：当前代码检索未找到 SAML 专用策略或驱动，不能写成已支持；如客户需要，先补代码和文档证据。

问：OAUTH2 和 OIDC 能直接等同吗？ 答：不能。代码中有 OAUTH2 策略，但未见标准 OIDC 字段校验说明，配置时按当前 SSO 实现确认。

问：回调成功但用户不存在怎么办？ 答：先按映射字段搜索成员；找不到就创建或同步账号，再加入企业和空间。