SAML SSO

单点登录 (SSO) 功能适用于企业云客户，允许他们通过单一身份验证源访问 LangSmith。这使管理员能够集中管理团队访问权限，并提高信息安全性。

LangSmith 的 SSO 配置基于 SAML（安全断言标记语言）2.0 标准构建。SAML 2.0 允许将身份提供商 (IdP) 连接到您的组织，从而提供更轻松、更安全的登录体验。

注意

SAML SSO 适用于企业计划的组织。请联系销售人员以了解更多信息。

什么是 SAML SSO？

SSO 服务允许用户使用一组凭据（例如，姓名或电子邮件地址和密码）访问多个应用程序。该服务仅对用户有权访问的所有应用程序对最终用户进行一次身份验证，并在用户在同一会话期间切换应用程序时消除进一步的提示。

SSO 的优势

• 为组织所有者简化跨系统的用户管理。
• 使组织能够执行自己的安全策略（例如 MFA）
• 无需最终用户记住和管理多个密码。通过允许最终用户在一个单一的接入点登录并在多个应用程序中享受无缝体验，简化了最终用户的体验。

为您的组织设置 SAML SSO

先决条件

• 您的组织必须使用企业计划
• 您的身份提供商 (IdP) 必须支持 SAML 2.0 标准
• 只有组织管理员可以配置 SAML SSO

初始配置

注意

请参阅下面的 IdP 特定说明

注意

美国和欧盟的 URL 不同。请确保从右上角的下拉菜单中选择您的区域。

1. 在您的 IdP 中：使用以下详细信息配置 SAML 应用程序，然后复制元数据 URL 或 XML 以用于下面的步骤 3
   1. 单点登录 URL 又名 ACS URL：https://auth.langchain.com/auth/v1/sso/saml/acs
   2. 受众 URI 又名 SP 实体 ID：https://auth.langchain.com/auth/v1/sso/saml/metadata
   3. 名称 ID 格式：电子邮件地址
   4. 应用程序用户名：电子邮件地址
   5. 必需声明：sub 和 email
2. 在 LangSmith 中：转到设置 -> 成员和角色 -> SSO 配置
   1. 填写必填信息并提交以激活 SSO 登录
      1. 填写 SAML 元数据 URL 或 SAML 元数据 XML
      2. 选择默认工作区角色和默认工作区。通过 SSO 登录的新用户将被添加到指定的工作区，并具有选定的角色。

编辑 SAML SSO 设置

• 默认工作区角色和默认工作区是可编辑的。更新后的设置将仅应用于新用户，而不适用于现有用户。
• （即将推出）SAML 元数据 URL 和 SAML 元数据 XML 是可编辑的。这通常仅在加密密钥轮换/过期或元数据 URL 已更改但仍使用相同的 IdP 时才需要。

即时 (JIT) 预配置

LangSmith 在使用 SAML SSO 时支持即时预配置。这允许通过 SAML SSO 登录的人员自动加入组织和选定的工作区，成为成员。

注意

JIT 预配置仅适用于新用户，即尚未通过不同的登录方式使用相同电子邮件地址访问该组织的用户

登录方式和访问权限

一旦您为您的组织完成 SAML SSO 的配置，用户除了用户名/密码和 Google 身份验证等其他登录方式外，还可以通过 SAML SSO 登录。

• 通过 SAML SSO 登录后，用户只能访问配置了 SAML SSO 的相应组织。
• 仅使用 SAML SSO 作为登录方式的用户没有个人组织
• 当通过任何其他方法登录时，用户可以访问配置了 SAML SSO 的组织以及他们所属的任何其他组织

仅强制执行 SAML SSO

要确保用户只能在使用 SAML SSO 登录时访问组织，而不能使用其他方法，请选中“仅通过 SSO 登录”复选框，然后单击“保存”。一旦发生这种情况，通过非 SSO 登录方法登录组织的用户需要使用 SAML SSO 重新登录。
可以通过取消选中复选框并单击“保存”将此设置切换回允许所有登录方式。

注意

您必须通过 SAML SSO 登录才能将此设置更新为仅 SAML SSO。这是为了确保 SAML 设置有效，并避免将用户锁定在您的组织之外。

支持和故障排除

如果您在设置 SAML SSO 时遇到问题，请联系 support@langchain.dev。

常见问题解答

如何更改 SAML SSO 用户的电子邮件地址？

某些身份提供商在电子邮件更改时保留原始用户 ID，而其他身份提供商则不保留，因此我们建议您按照以下步骤操作，以避免在 LangSmith 中出现重复用户

1. 从组织中删除用户（请参阅此处）
2. 在 IdP 中更改其电子邮件地址
3. 让他们通过 SAML SSO 再次登录 LangSmith - 这将使用他们的新电子邮件地址触发通常的JIT 预配置流程

如何修复“405 method not allowed”错误？

确保您使用的是正确的 ACS URL：https://auth.langchain.com/auth/v1/sso/saml/acs

身份提供商 (IdP) 设置

这些是关于使用 Entra ID（以前的 Azure）、Google 和 Okta 设置 LangSmith SAML SSO 的说明。如果您使用不同的身份提供商并且需要配置方面的帮助，请联系我们的支持团队。

Entra ID (Azure)

有关更多信息，请参阅 Microsoft 的文档。

步骤 1：创建新的 Entra ID 应用程序集成

1. 使用特权角色（例如全局管理员）登录 Azure 门户。在左侧导航窗格中，选择Entra ID服务。
2. 导航到“企业应用程序”，然后选择“所有应用程序”。
3. 单击创建您自己的应用程序。
4. 在“创建您自己的应用程序”窗口中
   1. 输入您的应用程序的名称（例如 LangSmith）
   2. 选择集成您在库中找不到的任何其他应用程序（非库）。
5. 单击创建。

步骤 2：配置 Entra ID 应用程序并获取 SAML 元数据

1. 打开您创建的企业应用程序。
2. 在左侧导航中，选择管理 > 单点登录。
3. 在“单点登录”页面上，单击SAML。
4. 更新基本 SAML 配置
   1. 标识符（实体 ID）：https://auth.langchain.com/auth/v1/sso/saml/metadata
   2. 回复 URL（断言使用者服务 URL）：https://auth.langchain.com/auth/v1/sso/saml/acs
   3. 将中继状态、注销 URL 和 登录 URL 留空
   4. 单击保存
5. 确保必需的声明存在，并带有 命名空间：http://schemas.xmlsoap.org/ws/2005/05/identity/claims
   1. sub：user.objectid
   2. emailaddress：user.userprincipalname 或 user.mail（如果使用后者，请确保所有用户在联系信息下都填写了电子邮件字段）
6. 在基于 SAML 的登录页面上，在 SAML 证书下，复制 应用程序联合元数据 URL。

步骤 3：设置 LangSmith SSO 配置

按照初始配置下的说明，在填写必填信息步骤中使用上一步的元数据 URL。

步骤 4：验证 SSO 设置

1. 在 Entra ID 中将应用程序分配给用户/组
   1. 选择管理 > 用户和组
   2. 单击添加用户/组
   3. 在“添加分配”窗口中
      1. 在“用户”下，单击未选择。
      2. 搜索您要分配给企业应用程序的用户，然后单击选择。
      3. 验证用户是否已选择，然后单击分配。
2. 让用户通过“SSO 配置”页面中的唯一登录 URL 登录，或者转到管理 > 单点登录，然后选择使用 <应用程序名称> 测试单点登录

Google

有关更多信息，请参阅 Google 的文档。

步骤 1：创建和配置 Google Workspace SAML 应用程序

1. 确保您已使用具有适当权限的管理员帐户登录。
2. 在管理控制台中，转到菜单 -> 应用 -> Web 和移动应用。
3. 单击添加应用，然后单击添加自定义 SAML 应用。
4. 输入应用名称，并可选择上传图标。单击继续。
5. 在“Google 身份提供商详细信息”页面上，下载 IDP 元数据并保存以用于下面的步骤 2。单击“继续”。
6. 在服务提供商详细信息窗口中，输入
   1. ACS URL：https://auth.langchain.com/auth/v1/sso/saml/acs
   2. 实体 ID：https://auth.langchain.com/auth/v1/sso/saml/metadata
   3. 将起始 URL和已签名响应框留空。
   4. 将名称 ID 格式设置为 EMAIL，并将名称 ID 保留为默认值（基本信息 > 主要电子邮件）。
   5. 单击继续。
7. 使用添加映射以确保必需的声明存在
   1. 基本信息 > 主要电子邮件 -> email

步骤 2：设置 LangSmith SSO 配置

按照初始配置下的说明，在填写必填信息步骤中使用上一步中的 IDP 元数据作为元数据 XML。

步骤 3：在 Google 中启用 SAML 应用

1. 在菜单 -> 应用 -> Web 和移动应用下选择 SAML 应用
2. 单击用户访问权限。
3. 启用服务
   1. 要为组织中的所有人启用服务，请单击为所有人启用，然后单击保存。
   2. 要为组织部门启用服务
      1. 在左侧，选择组织部门，然后选择启用。
      2. 如果“服务状态”设置为 已继承，并且即使父设置更改，您也想保留更新后的设置，请单击覆盖。
      3. 如果“服务状态”设置为 已覆盖，则可以单击继承以恢复与其父项相同的设置，或者单击保存以保留新设置，即使父设置更改也是如此。
   3. 要为跨组织部门或在组织部门内的用户集启用服务，请选择一个访问组。有关详细信息，请转到使用组自定义服务访问权限。
4. 确保您的用户用于登录 LangSmith 的电子邮件地址与他们用于登录您的 Google 域的电子邮件地址匹配。

步骤 4：验证 SSO 设置

让具有访问权限的用户通过“SSO 配置”页面中的唯一登录 URL 登录，或者转到 Google 中的 SAML 应用程序页面，然后单击 测试 SAML 登录。

Okta

有关更多信息，请参阅 Okta 的文档。

步骤 1：创建和配置 Okta SAML 应用程序

1. 以管理员身份登录 Okta，然后转到 Okta 管理控制台。
2. 在应用程序 > 应用程序下，单击创建应用集成
3. 选择SAML 2.0
4. 输入应用名称（例如 LangSmith），并可选择输入应用徽标，然后单击下一步
5. 在配置 SAML 页面中输入以下信息
   1. 单点登录 URL 又名 ACS URL：https://auth.langchain.com/auth/v1/sso/saml/acs。保持选中将此用于接收者 URL 和目标 URL。
   2. 受众 URI (SP 实体 ID)：https://auth.langchain.com/auth/v1/sso/saml/metadata
   3. 名称 ID 格式：EmailAddress
   4. 应用程序用户名：email
   5. 将其余字段留空或设置为其默认值。
   6. 单击`下一步
6. 单击完成
7. 从登录页面复制元数据 URL以用于下一步

步骤 2：设置 LangSmith SSO 配置

按照初始配置下的说明，在填写必填信息步骤中使用上一步的元数据 URL。

步骤 3：在 Okta 中将用户分配给 LangSmith

1. 在应用程序 > 应用程序下，选择在步骤 1 中创建的 SAML 应用程序
2. 在分配选项卡下，单击分配，然后单击分配给人员或分配给组
3. 进行所需的选择，然后单击分配和完成

步骤 4：验证 SSO 设置

让具有访问权限的用户通过“SSO 配置”页面中的唯一登录 URL 登录，或者让用户从其 Okta 仪表板中选择应用程序。