跳到主要内容

SAML SSO

企业云客户可以使用单点登录 (SSO) 功能,通过单一身份验证源访问 LangSmith。这使得管理员能够集中管理团队访问权限并确保信息更加安全。

LangSmith 的 SSO 配置是使用 SAML(安全断言标记语言)2.0 标准构建的。SAML 2.0 能够将身份提供商 (IdP) 连接到您的组织,从而提供更便捷、更安全的登录体验。

注意

SAML SSO 适用于企业版套餐的组织。请联系销售团队了解更多信息。

什么是 SAML SSO?

SSO 服务允许用户使用一套凭据(例如,姓名或电子邮件地址和密码)访问多个应用程序。该服务只需对用户一次性验证所有已授权应用程序的身份,并在同一会话中用户切换应用程序时消除后续提示。

SSO 的优势

  • 为组织所有者简化跨系统的用户管理。
  • 使组织能够强制执行自己的安全策略(例如多因素认证)
  • 消除了最终用户记忆和管理多个密码的需要。通过允许最终用户在单一入口点登录,并在多个应用程序中享受无缝体验,从而简化了最终用户的体验。

为您的组织设置 SAML SSO

先决条件

  • 您的组织必须是企业版套餐
  • 您的身份提供商 (IdP) 必须支持 SAML 2.0 标准
  • 只有组织管理员才能配置 SAML SSO

初始配置

注意

请参阅下方针对 IdP 的具体说明

注意

美国和欧盟的 URL 不同。请务必从右上角的下拉菜单中选择您的区域。

  1. 在您的 IdP 中:使用以下详细信息配置 SAML 应用程序,然后复制元数据 URL 或 XML 以用于下面的第 3 步
    1. 单点登录 URL (又称 ACS URL):https://auth.langchain.com/auth/v1/sso/saml/acs
    2. 受众 URI (又称 SP 实体 ID):https://auth.langchain.com/auth/v1/sso/saml/metadata
    3. 名称 ID 格式:电子邮件地址
    4. 应用程序用户名:电子邮件地址
    5. 所需声明:subemail
  2. 在 LangSmith 中:转到 Settings -> Members and roles -> SSO Configuration
    1. 填写所需信息并提交以激活 SSO 登录
      1. 填写 SAML metadata URLSAML metadata XML
      2. 选择 Default workspace roleDefault workspaces。通过 SSO 登录的新用户将以选定的角色添加到指定的工作区。

编辑 SAML SSO 设置

  • Default workspace roleDefault workspaces 可编辑。更新后的设置仅适用于新用户,不适用于现有用户。
  • (即将推出)SAML metadata URLSAML metadata XML 可编辑。这通常仅在加密密钥轮换/过期或元数据 URL 发生变化但仍使用相同的 IdP 时才需要。

即时 (JIT) 身份配置

LangSmith 在使用 SAML SSO 时支持即时身份配置。这允许通过 SAML SSO 登录的用户自动作为成员加入组织和选定的工作区。

注意

JIT 身份配置仅适用于新用户,即尚未通过其他登录方式使用相同电子邮件地址访问组织的现有用户。

登录方法和访问

为您的组织完成 SAML SSO 配置后,用户除了通过用户名/密码和 Google 身份验证等其他登录方式外,还可以通过 SAML SSO 登录。

  • 通过 SAML SSO 登录后,用户只能访问已配置 SAML SSO 的相应组织。
  • 将 SAML SSO 作为唯一登录方式的用户没有个人组织
  • 通过任何其他方法登录时,用户可以访问已配置 SAML SSO 的组织以及他们所属的任何其他组织

仅强制执行 SAML SSO

为确保用户仅在使用 SAML SSO 登录时才能访问组织,请勾选 Login via SSO only 复选框并点击 Save。一旦启用,通过非 SSO 登录方式访问组织的用户将被要求使用 SAML SSO 重新登录。
取消勾选复选框并点击 Save,可以将此设置改回允许所有登录方法。

注意

您必须通过 SAML SSO 登录才能将此设置更新为 Only SAML SSO。这是为了确保 SAML 设置有效,并避免用户被锁定在您的组织之外。

支持和故障排除

如果您在设置 SAML SSO 时遇到问题,请联系 support@langchain.dev

常见问题

如何更改 SAML SSO 用户的电子邮件地址?

有些身份提供商在更改电子邮件后仍保留原始 User ID,而另一些则不保留,因此我们建议您按照以下步骤操作,以避免 LangSmith 中出现重复用户

  1. 从组织中移除用户(参见此处
  2. 在 IdP 中更改他们的电子邮件地址
  3. 让他们再次通过 SAML SSO 登录 LangSmith - 这将触发通常的JIT 身份配置流程,使用他们的新电子邮件地址

如何修复“405 method not allowed”错误?

确保您使用的是正确的 ACS URL:https://auth.langchain.com/auth/v1/sso/saml/acs

身份提供商 (IdP) 设置

以下是使用 Entra ID(原 Azure)、Google 和 Okta 设置 LangSmith SAML SSO 的说明。如果您使用不同的身份提供商且需要配置协助,请联系我们的支持团队。

Entra ID (Azure)

如需更多信息,请参阅 Microsoft 的文档

步骤 1:创建新的 Entra ID 应用程序集成

  1. 使用特权角色(例如全局管理员)登录 Azure 门户。在左侧导航窗格中,选择 Entra ID 服务。
  2. 导航到“企业应用程序”,然后选择“所有应用程序”。
  3. 点击 创建自己的应用程序
  4. 在“创建自己的应用程序”窗口中
    1. 输入您的应用程序名称(例如 LangSmith
    2. 选择 集成库中未找到的任何其他应用程序(非库)
  5. 点击 创建

步骤 2:配置 Entra ID 应用程序并获取 SAML 元数据

  1. 打开您创建的企业应用程序。
  2. 在左侧导航栏中,选择 Manage > Single sign-on
  3. 在“单点登录”页面上,点击 SAML
  4. 更新 Basic SAML Configuration
    1. 标识符 (实体 ID)https://auth.langchain.com/auth/v1/sso/saml/metadata
    2. 回复 URL (断言消费者服务 URL)https://auth.langchain.com/auth/v1/sso/saml/acs
    3. Relay State注销 URL登录 URL 留空
    4. 点击 保存
  5. 确保所需声明存在,且 命名空间 为:http://schemas.xmlsoap.org/ws/2005/05/identity/claims
    1. subuser.objectid
    2. emailaddressuser.userprincipalnameuser.mail (如果使用后者,请确保所有用户在 联系信息 下填写了 电子邮件 字段)
  6. 在“基于 SAML 的登录”页面上,在 SAML 证书 下,复制 应用程序联合元数据 URL

步骤 3:设置 LangSmith SSO 配置

按照初始配置中“填写所需信息”步骤的说明,使用上一步中的元数据 URL。

步骤 4:验证 SSO 设置

  1. 在 Entra ID 中将应用程序分配给用户/组
    1. 选择 管理 > 用户和组
    2. 点击 添加用户/组
    3. 在“添加分配”窗口中
      1. 在“用户”下,点击 未选择
      2. 搜索您要分配给企业应用程序的用户,然后点击 选择
      3. 验证用户已选中,然后点击 分配
  2. 让用户通过 SSO 配置 页面中的唯一登录 URL 登录,或者前往 管理 > 单点登录 并选择 测试与 <应用程序名称> 的单点登录

Google

如需更多信息,请参阅 Google 的文档

步骤 1:创建和配置 Google Workspace SAML 应用程序

  1. 确保您已使用具有相应权限的管理员帐户登录。
  2. 在管理控制台中,转到 菜单 -> 应用 -> 网络和移动应用
  3. 点击 添加应用,然后点击 添加自定义 SAML 应用
  4. 输入应用名称,并可选择上传图标。点击 继续
  5. 在 Google 身份提供商详细信息页面上,下载 IDP 元数据 并保存以备下方步骤 2 使用。点击 继续
  6. 服务提供商详细信息 窗口中,输入
    1. ACS URLhttps://auth.langchain.com/auth/v1/sso/saml/acs
    2. 实体 IDhttps://auth.langchain.com/auth/v1/sso/saml/metadata
    3. 起始 URL已签名响应 框留空。
    4. 名称 ID 格式设置为 EMAIL,并将 名称 ID 保留为默认值(基本信息 > 主要电子邮件)。
    5. 点击 继续
  7. 使用 添加映射 确保所需的声明存在
    1. 基本信息 > 主要电子邮件 -> 电子邮件

步骤 2:设置 LangSmith SSO 配置

按照初始配置中“填写所需信息”步骤的说明,使用上一步中的 IDP 元数据 作为元数据 XML。

步骤 3:在 Google 中开启 SAML 应用

  1. 菜单 -> 应用 -> 网络和移动应用 下选择 SAML 应用
  2. 点击 用户访问
  3. 开启服务
    1. 要为组织中的所有人开启服务,请点击 为所有人开启,然后点击 保存
    2. 要为组织单位开启服务
      1. 在左侧,选择组织单位,然后选择 开启
      2. 如果服务状态设置为 继承 且您希望保留更新后的设置,即使父设置更改,也请点击 覆盖
      3. 如果服务状态设置为 已覆盖,请点击 继承 以恢复到与其父级相同的设置,或点击 保存 以保留新设置,即使父设置更改。
    3. 要为跨组织单位或组织单位内的一组用户开启服务,请选择一个访问组。有关详细信息,请访问使用群组自定义服务访问权限
  4. 确保您的用户用于登录 LangSmith 的电子邮件地址与他们用于登录 Google 域的电子邮件地址相匹配。

步骤 4:验证 SSO 设置

让有访问权限的用户通过 SSO 配置 页面中的唯一登录 URL 登录,或者前往 Google 中的 SAML 应用程序页面并点击 TEST SAML LOGIN

Okta

如需更多信息,请参阅 Okta 的文档

步骤 1:创建和配置 Okta SAML 应用程序

  1. 以管理员身份登录 Okta,然后前往 Okta 管理控制台
  2. 应用程序 > 应用程序 下,点击 创建应用集成
  3. 选择 SAML 2.0
  4. 输入 应用程序名称(例如 LangSmith),并可选择添加 应用程序徽标,然后点击 下一步
  5. 配置 SAML 页面中输入以下信息
    1. 单点登录 URL (又称 ACS URL):https://auth.langchain.com/auth/v1/sso/saml/acs。保持勾选 将其用于接收方 URL 和目标 URL
    2. 受众 URI (SP 实体 ID)https://auth.langchain.com/auth/v1/sso/saml/metadata
    3. 名称 ID 格式电子邮件地址
    4. 应用程序用户名电子邮件
    5. 其余字段留空或设置为默认值。
    6. 点击 下一步
  6. 点击 完成
  7. 登录 页面复制 元数据 URL 以用于下一步

步骤 2:设置 LangSmith SSO 配置

按照初始配置中“填写所需信息”步骤的说明,使用上一步中的元数据 URL。

步骤 3:在 Okta 中将用户分配给 LangSmith

  1. 应用程序 > 应用程序 下,选择在步骤 1 中创建的 SAML 应用程序
  2. 分配 选项卡下,点击 分配,然后选择 分配给人员分配给组
  3. 进行所需选择,然后点击 分配完成

步骤 4:验证 SSO 设置

让有访问权限的用户通过 SSO 配置 页面中的唯一登录 URL 登录,或让用户从其 Okta 控制面板中选择该应用程序。

本页有帮助吗?


您可以提供详细反馈 在 GitHub 上.