管理认证与 SSO

认证与 SSO

默认情况下,Litefuse 支持邮箱/密码以及社交登录(使用 Google、GitHub、Microsoft 登录)。

为了进一步提升安全性,你也可以通过 OIDC 配置 Enterprise SSO(如 Okta、Authentik、GitHub Enterprise、OneLogin、Azure AD、Keycloak、JumpCloud 等)。

关于授权的更多细节,请参阅 RBAC 文档

对于自托管实例,请参阅 自托管认证与 SSO 指南

邮箱/密码认证

默认情况下,Litefuse 使用邮箱与密码进行认证。Litefuse 强制要求使用满足标准复杂度要求的密码。

如果你之前是通过社交登录注册的,可以在登录页面通过 “reset password” 链接添加密码。

社交登录

为简化访问,用户可以使用已有的社交账号登录:

  • Google
  • GitHub
  • Azure AD (Entra ID)

出于安全考虑,Litefuse 不支持在不同社交登录之间切换,也不支持在使用邮箱/密码注册之后再使用社交登录注册。

Enterprise SSO 与 SSO 强制启用

Where is this feature available?
  • Hobby
  • Core
  • Pro
    (Team)
  • Enterprise
  • Self Hosted

Litefuse 通过 OIDC 支持 Enterprise SSO(如 Okta、Authentik、OneLogin、Azure AD、Keycloak、WorkOS、JumpCloud 等)。请联系 support 以启用此功能。

Litefuse 支持每个客户组织拥有多个域名,但每个域名都必须由你的组织独占。 共享域名(例如来自外包商或咨询公司的域名)不被支持。

详情:

  • 迁移: 已有的、通过邮箱/密码或社交登录注册的用户,会在 Enterprise SSO provider 配置完成后自动迁移到该 provider。
  • 授权: Enterprise SSO 不会在用户注册时自动为其分配 角色。用户必须被邀请加入某个组织,可通过 UI(settings > members)或 SCIM API 完成。
  • 登录: 要使用 Enterprise SSO provider 登录,请 (1) 输入你的邮箱地址,(2) 点击 “Continue”。你将被重定向到 Enterprise SSO provider 进行认证。

SSO 登录流程

Litefuse 仅通过 OIDC 提供认证。不支持 SAML。

厂商指南

Okta

第 1 步:在 Okta 中创建一个 OIDC 应用
  1. 登录 Okta 管理控制台
  2. 进入 Applications > Applications
  3. 点击 Create App Integration
  4. 选择 OIDC - OpenID Connect 作为登录方式
  5. 选择 Web Application 作为应用类型
  6. 点击 Next
第 2 步:配置应用
  1. 输入 App integration name(如 “Litefuse”)
  2. Sign-in redirect URI 设置为: https://<litefuse-url>/api/auth/callback/<domain>.okta 示例:https://litefuse.cloud/api/auth/callback/example.com.okta
  3. (可选)按需设置 Sign-out redirect URI
  4. (Scopes)认证过程中 Litefuse 不使用 Scopes
  5. Assignments 中选择如何分配用户
  6. 点击 Save
第 3 步:获取凭证
  1. 在该应用的 General 标签下,复制 Client IDClient Secret
  2. 记下你的 Okta Issuer URL(如 https://example.okta.com
第 4 步:将凭证分享给 Litefuse

请通过 support 将以下信息分享给 Litefuse:

  • Instance URL(如 https://litefuse.cloudhttps://litefuse.cloud
  • Issuer URL(如 https://example.okta.com
  • Client ID
  • Client Secret

可以通过任何安全的方式分享凭证。 通常使用密码管理器分享是效果最好的方式。

第 5 步:分配用户
  1. 在 Okta 中,进入你 Litefuse 应用的 Assignments 标签
  2. 将应有访问权限的用户或群组分配给 Litefuse
IdP 发起的 SSO

Litefuse 支持 IdP 发起的 SSO(由身份提供方发起的单点登录),用户可以直接从 Okta 启动 SSO 流程,而不必从 Litefuse 开始。

IdP 发起的 SSO 认证流程示例 (Okta):

要启用 IdP 发起的 SSO,请配置 Okta,将用户重定向到:

https://litefuse.cloud/auth/sso-initiate?provider=<PROVIDER>
  • <PROVIDER> 替换为你 callback URL 的最后一段,例如 example.com.okta
  • 在 Okta 设置中使用 Redirect to app to initiate login (OIDC Compliant) 选项。
通过 SCIM 进行用户配置

如需自动化用户配置,请参阅 Okta SCIM 配置指南

相关资源

  • SCIM 与组织 API:在配置 SSO 后自动化用户配置、角色分配以及项目搭建
概览访问控制 (RBAC)
这个页面对你有帮助吗?
支持