一、场景概述
大型企业客户希望员工使用已有企业身份登录物联网卡管理平台,无需再维护一套独立密码;并希望与 角色权限与审计 中的组织架构同步。OAuth 与 SSO 单点登录在达希物联网云平台中支持标准协议:OpenID Connect(OIDC)、SAML 2.0,以及国内常见的企业微信、钉钉、飞书 OAuth 应用。用户首次登录时完成 IdP 与平台账号的绑定或自动开户,后续一键登录。
参考行业 SaaS 与零信任实践:应支持强制 SSO(禁止本地密码登录)、会话时长与登出联动(IdP 登出后平台会话失效)。与 多租户管理 结合时,每个租户可配置独立 IdP。
OIDC/SAML标准协议
账号映射邮箱/工号
JIT 开户首次登录自动建号
单点登出SLO 可选
二、核心能力
IdP 配置
录入元数据、证书、Client ID/Secret、回调地址;支持多环境回调;OIDC discovery 自动拉取配置。
属性与角色映射
将 IdP 返回的 group、department 映射为平台角色与数据域;支持正则与脚本扩展(在安全沙箱内)。
移动端与扫码
企业微信/钉钉内嵌 H5 免登;扫码登录 Web 端;与 用户自助服务平台 可共用或分离 IdP。
安全加固
支持 MFA 叠加;异常登录告警;与 配额与限流策略 防止暴力破解。
三、实施建议
联调前确认时钟同步(SAML 对时间敏感);测试账号禁用与离职在 IdP 侧是否即时生效。文档化故障回退(如 IdP 故障时临时开启本地管理员账号)。
四、方案价值
通过 OAuth 与 SSO,达希物联网云平台帮助客户降低账号管理成本、提升安全基线,并与企业 IT 体系无缝融合。