企业 SSO 配置指南

单点登录（SSO）允许您的团队成员使用组织现有的身份提供者（IdP）访问 FlowHunt。本指南将引导您为企业 FlowHunt 账户设置 SSO 集成的流程。

前置条件

在开始 SSO 配置流程前，请确保您已具备以下条件：

• 有效的 FlowHunt 企业版套餐
• 拥有组织 Microsoft Azure AD / Entra ID 的管理员权限
• 是 FlowHunt 工作区的拥有者
• 能访问 DNS 提供商后台以验证您的域名所有权

配置步骤

步骤 1：进入 FlowHunt 的 SSO 设置

1. 以管理员身份登录您的 FlowHunt 账户
2. 进入 通用设置 > 认证
3. 点击相应身份提供者旁的 配置 SSO 按钮

步骤 2：选择 Microsoft Azure AD / Entra ID

您会看到 SSO 默认已启用。

步骤 3：获取 FlowHunt SSO 信息

从 FlowHunt SSO 设置页面复制 断言消费者服务（ACS）URL。

步骤 4：配置您的身份提供者

1. 登录 Azure 门户
2. 进入 Azure Active Directory > 企业应用程序 > 新建应用程序

3. 选择 创建您自己的应用程序

4. 输入名称为 “FlowHunt”，选择“集成任何在画廊中找不到的其他应用”
5. 选择 设置单点登录
6. 配置基础 SAML 设置：
   • 标识符（Entity ID）：设置为 https://www.flowhunt.io
   • 回复 URL：设置为从 FlowHunt 获取的 断言消费者服务（ACS）URL
7. 在 用户属性与声明 部分，确保映射了以下属性。默认情况应为正确值：
   • Name ID：user.mail（邮箱地址）
   • First Name：user.givenname
   • Last Name：user.surname
   • Email：user.mail
8. 下载 证书（Base64） 文件
9. 复制 设置 FlowHunt 测试 SSO 部分的 登录 URL

步骤 7：配置 FlowHunt SSO

1. 返回 FlowHunt
2. 找到 IdP SSO URL，并粘贴从 Microsoft Entra ID 的 登录 URL 部分复制的 URL 到 IdP SSO URL 字段
3. 将 Entra ID 页面中 Microsoft Entra Identifier 字段的值粘贴到 IdP Entity ID 字段
4. 将下载的 证书（Base64） 文件内容粘贴到 IdP Certificate 字段。该内容可能以 -----BEGIN CERTIFICATE----- 开头，以 -----END CERTIFICATE----- 结尾
5. 点击“验证域名”按钮并按照提示操作，验证您的域名所有权。您需要在 DNS 提供商处添加一条 TXT 记录。

6. 域名验证成功后，点击 更新 SAML 设置 按钮。下一部分将介绍 SAML 设置中的可选高级配置项，帮助您进一步完善 SSO 配置。

步骤 8：高级 SAML 配置（可选）

登录方式

若设置为 任意方式，用户可使用 SSO 或用户名/密码登录。若设置为 强制 SSO，用户必须通过 SSO 登录。

自动账户创建（即时开通）

启用后，首次登录的用户会自动在 FlowHunt 创建新账户。禁用时，用户需手动添加至 FlowHunt。

故障排查

如在 SSO 配置过程中遇到问题：

常见问题及解决办法

1. “无效的 SAML 响应” 错误

   • 检查您的 IdP 服务器时间是否同步
   • 核对 Entity ID 与 ACS URL 是否配置正确

2. SSO 登录后用户无法访问 FlowHunt

   • 确保用户已被分配到 IdP 中的 FlowHunt 应用
   • 验证用户邮箱地址在 IdP 与 FlowHunt 中是否一致

3. 属性映射问题

   • 确认所需属性（email、firstName、lastName）已正确映射
   • 检查属性名是否存在大小写敏感问题

获取帮助

如仍无法解决 SSO 配置问题，请：

1. 联系 FlowHunt 支持：support@flowhunt.io
2. 在您的支持请求中包含如下信息：
   • 您的组织名称
   • 身份提供者名称
   • 具体错误信息
   • 配置截图（请遮挡敏感信息）