一、场景概述
大型企业客户希望员工使用已有企业身份登录物联网卡管理平台,无需再维护一套独立密码;并希望与 角色权限与审计 中的组织架构同步。OAuth 与 SSO 单点登录在达希物联网云平台中支持标准协议:OpenID Connect(OIDC)、SAML 2.0,以及国内常见的企业微信、钉钉、飞书 OAuth 应用。用户首次登录时完成 IdP 与平台账号的绑定或自动开户,后续一键登录。
参考行业 SaaS 与零信任实践:应支持强制 SSO(禁止本地密码登录)、会话时长与登出联动(IdP 登出后平台会话失效)。与 多租户管理 结合时,每个租户可配置独立 IdP。
OIDC/SAML标准协议
账号映射邮箱/工号
JIT 开户首次登录自动建号
单点登出SLO 可选
二、核心能力
IdP 配置
录入元数据、证书、Client ID/Secret、回调地址;支持多环境回调;OIDC discovery 自动拉取配置。
属性与角色映射
将 IdP 返回的 group、department 映射为平台角色与数据域;支持正则与脚本扩展(在安全沙箱内)。
移动端与扫码
企业微信/钉钉内嵌 H5 免登;扫码登录 Web 端;与 用户自助服务平台 可共用或分离 IdP。
安全加固
支持 MFA 叠加;异常登录告警;与 配额与限流策略 防止暴力破解。
三、典型应用场景
- 大型集团统一身份管理:集团企业将达希物联网云平台接入企业LDAP或Azure AD,运营部门员工使用工牌账号一键登录,IT部门在人员离职时只需在统一身份源注销即可切断全平台访问权限。
- 企业微信无缝集成运营:移动运营团队通过企业微信内嵌H5页面访问CMP,扫码免密登录后可直接查看卡状态告警与流量预警推送,无需切换账号,显著提升移动端运营效率。
- SaaS多租户隔离登录:MVNO服务商为不同企业客户提供白标CMP,每个租户配置独立的OIDC IdP,确保各企业员工只能访问本企业的物联网卡数据,满足多租户数据隔离的合规要求。
四、实施建议
联调前确认时钟同步(SAML 对时间敏感);测试账号禁用与离职在 IdP 侧是否即时生效。文档化故障回退(如 IdP 故障时临时开启本地管理员账号)。
五、方案价值
通过 OAuth 与 SSO,达希物联网云平台帮助客户降低账号管理成本、提升安全基线,并与企业 IT 体系无缝融合。统一身份登录消除了用户维护多套密码的负担,员工离职后身份源一次注销即可切断全平台访问,减少人为造成的数据泄露风险;JIT自动开户机制使新员工入职当天即可使用平台;与MFA的联动进一步满足等保三级与零信任安全框架的认证要求。