关于 SSO
单点登录(SSO)允许您的团队成员使用您组织的身份提供商登录 Twenty。 这将提供:- 集中式访问控制:在一个位置管理访问
- 增强的安全性:利用您现有的安全策略
- 更佳的用户体验:一组凭据适用于所有工具
支持的提供商
Twenty 支持以下 SSO:- SAML 2.0:适用于大多数企业身份提供商
- Google Workspace:适用于使用 Google 的组织
- Microsoft Entra ID(原 Azure AD):适用于 Microsoft 环境
设置 SSO
先决条件
- 组织计划(云端和自托管工作区)
- 对您的身份提供商的管理员访问权限
- 对 Twenty 工作区的管理员访问权限
对于希望设置 SSO 的自托管用户,请联系 contact@twenty.com
配置步骤
1. 访问 SSO 设置
- 转到 设置 → 安全
- 找到 SSO 配置 部分
- 点击 配置 SSO
2) 选择服务提供商
从列表中选择您的身份提供商,或为其他提供商选择“Custom SAML”。3. 配置您的身份提供商
您需要为身份提供商配置以下内容:- 实体 ID:由 Twenty 提供
- ACS URL:用于身份验证的回调 URL
- 证书:用于安全通信
4. 在 Twenty 中输入提供商详细信息
- SSO URL:来自您的提供商的登录 URL
- 实体 ID:您的提供商的标识符
- 证书:来自您的提供商的 X.509 证书
5. 测试并启用
- 点击 测试配置 以验证设置
- 测试成功后启用 SSO
- 配置用户预配偏好设置
用户预配
即时(JIT)预配
- 用户在首次登录时自动创建
- 自动分配默认角色
- 无需手动创建用户
手动预配
- 在登录前邀请用户
- 预先分配特定角色
- 更好地控制谁可以访问
管理 SSO 用户
角色分配
与普通用户一样,可以为 SSO 用户分配角色:- 转到 设置 → 成员
- 找到该用户
- 根据需要更改其角色
撤销访问权限
要移除 SSO 用户的访问权限:- 将其从您的身份提供商中移除,或
- 将其从 Twenty 工作区中移除
最佳实践
安全
- 要求使用 SSO:为 SSO 用户禁用密码登录
- 定期审计:定期审查访问权限
- 严格的 IdP 策略:在身份提供商处强制执行 MFA
用户管理
- 清晰的命名:使用与您的目录一致的命名
- 组映射:将 IdP 的组映射到 Twenty 角色(如可用)
- 离职流程:将 Twenty 纳入您的停用工作流
故障排除
常见问题
- 证书错误:确保证书未过期
- URL 不匹配:验证 ACS URL 完全一致
- 未找到用户:检查 JIT 预配设置
获取帮助
如果您遇到问题,请联系支持并提供:- 收到的错误消息
- 所使用的身份提供商
- 配置详情(不含敏感数据)