扣子
扣子
扣子扣子编程扣子罗盘资源
助手
扣子 AI 帮助与支持
你好,我是 扣子 文档问答助手 🎉 你在阅读当前文档的过程中,无论对文档概念的解释,还是文档内容方面的疑问,都可以随时向我提问,我会全力为你解答
推荐问题
如何快速了解这个空间的核心内容?
有哪些近期更新的重点文档?
我应该从哪些文档开始阅读?
文档反馈
扣子编程介绍
动态与公告
新手教程
开发
技能
集成服务
部署运维
管理项目
企业团队/企业安全特性/通过飞书进行 SAML SSO 登录

通过飞书进行 SAML SSO 登录

更新于: 2026-06-25 17:39:01

通过单点登录功能(即 Single Sign On,SSO)可实现飞书和扣子编程之间登录身份互通互认。企业用户只需登录飞书,就可以直接访问扣子编程中的企业工作空间,免去每次访问都需要输入扣子账号和密码的步骤。本文档以飞书为例,演示飞书作为 IdP 时,企业管理员开启 SSO 登录的详细操作步骤,帮助你理解企业 IdP 与扣子编程进行 SSO 的端到端配置流程。

场景说明

某企业使用飞书作为移动办公平台,在飞书中维护自己的员工身份信息。企业使用员工邮箱前缀作为员工的唯一标识,例如用户 Alice 的员工邮箱为 Alice_123@enterprise.com,该员工在扣子编程中作为企业成员的用户名为 Alice_123。
企业管理员购买了扣子企业旗舰版之后可以开启 SSO 登录,能够让 Alice 通过链接基于飞书已经登陆的身份直接跳转扣子编程,以企业成员的身份访问扣子企业旗舰版工作空间。
Image

准备工作

  • 已在扣子编程中创建企业组织、创建企业成员 Alice_123,并将其加入企业。
  • 已获取飞书集成平台管理员权限、扣子编程企业超级管理员权限。

步骤一:在扣子编程中获取配置信息

在扣子编程中获取以下配置信息:

信息

查看方式

示例

SAML 服务提供者(SP)元数据 URL
  1. 企业超级管理员登录扣子编程企业管理页面
  2. 在左侧导航栏选择 SSO 设置,并单击去配置。页面会自动跳转到火山引擎扣子控制台,引导你查看 SP 元数据。
  3. 在弹出页面中 SSO 登录 > 服务提供商信息一栏复制 ACS URLEntity ID
    你也可以根据页面提示,直接下载元数据文档。

Image

扣子企业超级管理员对应的火山引擎主账号 ID

扣子企业超级管理员登录到火山引擎扣子编程后,在账号管理页面查看账号 ID。

Image

确认用户的唯一标识

NameID 是 SAML 断言中用于标识用户的一个元素。它是一个唯一标识符,用于在 IdP 和 SP 之间唯一地标识用户。

注意

本示例中,SAML 响应的 Name ID 为邮箱名(不包含@及后缀),开始配置前请确认:

  • 企业用户 Alice 在火山扣子控制台 > 用户管理页面的用户名为 Alice_123。
  • 企业用户 Alice 在飞书中配置的邮箱前缀同样为 Alice_123。

Image

步骤二:在飞书集成平台创建并配置应用

作为身份提供商(IdP),飞书集成平台需要以应用的形式感知服务提供商扣子编程,实现单点登录。因此,企业管理员需要飞书集成平台创建对应扣子编程的应用,应用类型为自建应用

  1. 使用飞书租户的管理员用户或具有同等权限的飞书用户登录飞书集成平台
  2. 身份集成 > 应用单点登录 > 应用管理页面中,单击新建应用,创建一个新的自建应用。
    Image
  3. 新建应用页面,选择应用类型为自建应用
    Image
  4. 基本配置页面,配置应用程序的名称等基本信息,然后单击下一步
    此示例中可以填写应用名称扣子编程,该名称仅用作在 IdP 处展示。
    Image
  5. 应用配置页面填写 SAML 配置。

    1. 更多配置区域,展开配置,启用 SAML 2.0 协议。
      Image

    2. 填写以下设置,并单击保存并启用

      配置

      说明

      示例

      授权配置

      快捷导入 SAML 元数据区域,单击上传文件,上传步骤一中下载的 SP 元数据文件。
      上传文件后,系统会默认填写登录回调地址

      Image

      支持 IdP 侧发起登录

      可选。配置 IdP 登录后,企业用户 Alice 可从飞书提供的登录地址访问扣子编程。
      开启支持 IdP 侧发起登录,并手动填写以下配置:

      • ACS URL、Destination 和 Destination:设置为步骤一中获取的 ACS URL。
      • Audience:设置为步骤一中获取的 Entity ID。

      配置成功后,页面右侧展示的认证请求端点则是从 IdP 侧(也就是飞书侧)访问扣子编程的 URL。

      IdP 登录:
      Image
      认证请求端点:
      Image

      Name ID 配置

      选择进行 SSO 身份映射时使用的飞书用户字段。建议此处选择在飞书侧维护的全局唯一的、仅包含英文字母的字段。
      本示例选择邮箱名(不含"@"及后缀),表示通过飞书用户的邮箱前缀去匹配扣子编程中的企业成员用户名。

      Image

      SAML 2.0 协议端点

      在页面右侧 SAML 2.0 协议端点区域中,单击下载元数据文档,下载身份提供商(IdP)元数据文件,并将其保存在本地目录。

      Image

      完整配置示例如下:
      Image

  6. 配置完成后,点击保存并启用
  7. 确认可访问范围。
    在刚创建的应用中的访问授权页面配置可以进行单点登录的飞书用户范围。默认全部成员均可通过飞书用户身份以 SSO 方式登录扣子编程,访问企业工作空间。
    Image

步骤三:在扣子编程中上传 IdP SAML 配置

在扣子编程中上传企业身份管理系统(IdP)的元数据信息,建立扣子编程对 IdP 的信任,并开启 SSO 登录,实现企业 IdP 通过用户 SSO 登录扣子编程。

  1. 企业超级管理员登录扣子编程。在左下角单击个人头像,选择账号 > 企业管理
    你也可以直接访问扣子编程企业管理页面
    Image
  2. 在左侧导航栏选择 SSO 设置,单击去配置
  3. 在弹出页面中 SSO 登录 > 身份提供商信息一栏,上传步骤二中下载的 IdP 元数据文档。
  4. SSO 登录区域,开启 SSO 登录。

Image

Image

Image

结果验证

完成 SSO 登录配置后,企业用户 Alice 可以从扣子编程或者飞书侧发起单点登录。

通过扣子编程登录页面登录:

  1. 企业成员访问管理员提供的扣子编程登录地址。
    管理员可以在火山扣子控制台 > 成员管理页面查看这个登录地址。
    Image
  2. 企业成员 Alice 在登录页面中输入企业别名和用户名 Alice_123,并单击下一步

    说明

    用户名要填写火山子用户的用户名(user_name),而不是扣子用户名(coze_user_name)。

  3. 单击企业账号免密登录
    Image
  4. 页面会自动跳转至飞书的登录页面,根据界面提示,输入账号密码或者扫描二维码登录。
  5. 登录成功后,页面将自动跳转至扣子编程,企业成员 Alice 可以选择访问火山引擎扣子控制台或扣子编程。
    Image

通过 IdP 提供的链接登录:

  1. 获取飞书侧访问扣子编程的 URL 地址。
    可以在 IdP 应用配置页面右侧查看认证请求端点
    Image
  2. 浏览器访问此链接。
  3. 根据界面提示,扫描二维码登录 Alice 的飞书账号。
  4. 登录成功后,页面将自动跳转至扣子编程,用户 Alice 可以选择访问火山引擎扣子控制台或扣子编程。
    Image
上一篇
管理私网连接
下一篇
数据加密管理
场景说明
准备工作
步骤一:在扣子编程中获取配置信息
步骤二:在飞书集成平台创建并配置应用
步骤三:在扣子编程中上传 IdP SAML 配置
结果验证