> ## Documentation Index
> Fetch the complete documentation index at: https://docs.twenty.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SSO 配置

> 配置单点登录（SSO），以实现安全的企业级身份验证。

## 关于 SSO

单点登录（SSO）允许您的团队成员使用您组织的身份提供商登录 Twenty。 这将提供：

* **集中式访问控制**：在一个位置管理访问
* **增强的安全性**：利用您现有的安全策略
* **更佳的用户体验**：一组凭据适用于所有工具

## 支持的提供商

Twenty 支持以下 SSO：

* **SAML 2.0**：适用于大多数企业身份提供商
* **Google Workspace**：适用于使用 Google 的组织
* **Microsoft Entra ID**（原 Azure AD）：适用于 Microsoft 环境

## 设置 SSO

### 先决条件

* 组织计划（云端和自托管工作区）
* 对您的身份提供商的管理员访问权限
* 对 Twenty 工作区的管理员访问权限

<Note>
  **对于希望设置 SSO 的自托管用户**，请联系 [contact@twenty.com](mailto:contact@twenty.com)
</Note>

### 配置步骤

#### 1. 访问 SSO 设置

1. 转到 **设置 → 安全**
2. 找到 **SSO 配置** 部分
3. 点击 **配置 SSO**

#### 2) 选择服务提供商

从列表中选择您的身份提供商，或为其他提供商选择“Custom SAML”。

#### 3. 配置您的身份提供商

您需要为身份提供商配置以下内容：

* **实体 ID**：由 Twenty 提供
* **ACS URL**：用于身份验证的回调 URL
* **证书**：用于安全通信

#### 4. 在 Twenty 中输入提供商详细信息

* **SSO URL**：来自您的提供商的登录 URL
* **实体 ID**：您的提供商的标识符
* **证书**：来自您的提供商的 X.509 证书

#### 5. 测试并启用

1. 点击 **测试配置** 以验证设置
2. 测试成功后启用 SSO
3. 配置用户预配偏好设置

## 用户预配

### 即时（JIT）预配

* 用户在首次登录时自动创建
* 自动分配默认角色
* 无需手动创建用户

### 手动预配

* 在登录前邀请用户
* 预先分配特定角色
* 更好地控制谁可以访问

## 管理 SSO 用户

### 角色分配

与普通用户一样，可以为 SSO 用户分配角色：

1. 转到 **设置 → 成员**
2. 找到该用户
3. 根据需要更改其角色

### 撤销访问权限

要移除 SSO 用户的访问权限：

* 将其从您的身份提供商中移除，或
* 将其从 Twenty 工作区中移除

## 最佳实践

### 安全

* **要求使用 SSO**：为 SSO 用户禁用密码登录
* **定期审计**：定期审查访问权限
* **严格的 IdP 策略**：在身份提供商处强制执行 MFA

### 用户管理

* **清晰的命名**：使用与您的目录一致的命名
* **组映射**：将 IdP 的组映射到 Twenty 角色（如可用）
* **离职流程**：将 Twenty 纳入您的停用工作流

## 故障排除

### 常见问题

* **证书错误**：确保证书未过期
* **URL 不匹配**：验证 ACS URL 完全一致
* **未找到用户**：检查 JIT 预配设置

### 获取帮助

如果您遇到问题，请联系支持并提供：

* 收到的错误消息
* 所使用的身份提供商
* 配置详情（不含敏感数据）
