第三方登入（SSO）

登入方式總覽

MaiAgent 平台提供多種登入方式，滿足不同企業的身份驗證需求：

什麼是第三方登入？

第三方登入（SSO，Single Sign-On）讓使用者可以透過企業既有的身份驗證系統登入 MaiAgent，無需另外記憶新的帳號密碼。常見的企業身份驗證系統包括：

• Keycloak：開源的身份與存取管理解決方案

• Azure AD：Microsoft 的雲端身份服務

• EIP：企業入口平台（Enterprise Information Portal）

Keycloak SSO 登入流程

Keycloak 是一種常見的企業級身份驗證解決方案，支援 OpenID Connect、OAuth 2.0 等協定。

流程說明：

1. 使用者在 MaiAgent 選擇 Keycloak 登入方式

2. 系統將使用者導向企業的 Keycloak 登入頁面

3. 使用者輸入企業內部的帳號密碼

4. Keycloak 驗證使用者身份

5. 驗證成功後，Keycloak 將認證資訊回傳給 MaiAgent

6. MaiAgent 建立使用者 Session

7. 使用者成功登入並可開始使用平台

設定 Keycloak 登入

組織擁有者可在「組織設定」>「認證來源設定」中設定 Keycloak 登入，需填寫：

• 認證來源名稱：自訂識別名稱（不可使用「MaiAgent」）

• Keycloak Server URL：Keycloak 伺服器位址

• Realm：Keycloak 領域名稱

• Client ID 與 Client Secret：在 Keycloak 建立的客戶端憑證

設定完成後，請將登入網址分享給組織成員。

Azure AD (SAML) 登入流程

Azure AD 使用 SAML 協定進行身份驗證，適合使用 Microsoft 365 或 Azure 服務的企業。

流程說明：

1. 使用者在 MaiAgent 選擇 Azure AD 登入

2. 系統發送 SAML 驗證請求至 Azure AD

3. 使用者使用公司的 Microsoft 帳號登入

4. Azure AD 驗證使用者身份

5. 驗證成功後，Azure AD 回傳 SAML 斷言與認證碼

6. MaiAgent 使用認證碼交換存取權杖

7. 使用者成功登入平台

設定 SAML 登入

組織擁有者可在「組織設定」>「認證來源設定」中設定 SAML 登入：

1. 在 MaiAgent 填寫基本資訊：

   • 認證來源名稱：例如「MyCompany-SAML」（不可使用「MaiAgent」）

   • 點擊「產生 SP 資訊」，系統會自動產生 SP Entity ID 和 ACS URL

2. 在 Azure AD 設定企業應用程式：

   • 前往 Azure Portal > Azure Active Directory > 企業應用程式

   • 建立新的 SAML 應用程式，填入步驟 1 產生的 SP Entity ID 和 ACS URL

   • 下載 SAML 憑證（Base64 格式）並記錄登入 URL 和 Azure AD 識別碼

3. 完成 MaiAgent 設定：

   • 回到 MaiAgent，填寫從 Azure AD 取得的 IdP Entity ID、IdP SSO URL 和 X.509 憑證

   • 儲存設定後，使用測試帳號驗證登入流程

設定完成後，系統會產生專屬的登入網址（格式：https://admin.maiagent.ai/auth/saml/{認證來源名稱}），請將此網址分享給組織成員使用。

EIP 登入流程

EIP（企業入口平台）登入適用於已有企業內部系統的組織，透過 Session ID 進行身份傳遞。

流程說明：

1. 使用者先登入企業內部的入口平台

2. EIP 系統建立使用者 Session

3. 使用者從 EIP 點擊進入 MaiAgent

4. EIP 將 Session ID 傳遞給 MaiAgent

5. MaiAgent 向 EIP 驗證 Session 是否有效

6. EIP 回傳該使用者的基本資訊（包含角色資訊）

7. MaiAgent 建立對應的平台 Session，並自動同步角色

8. 使用者成功登入並可使用平台

設定 EIP 登入

組織擁有者可在「組織設定」>「認證來源設定」中設定 EIP 登入，需填寫：

• 認證來源名稱：自訂識別名稱（不可使用「MaiAgent」）

• EIP 驗證 API URL：用於驗證 Session 的 API 端點

• EIP 取得使用者資訊 API URL：用於取得使用者資訊的 API 端點

設定完成後，組織成員可從企業入口平台點擊 MaiAgent 連結進行登入。

EIP 角色自動同步機制

EIP 登入支援角色自動同步功能，讓企業能夠在 EIP 端統一管理使用者角色，MaiAgent 會自動同步對應的權限。

同步機制特點：

• 即時同步：每次登入都會重新同步角色，確保權限與 EIP 端一致

• 完整替換：系統會以 EIP 回傳的角色清單為準，完整替換現有角色

• 自動生效：同步完成後，使用者立即獲得新權限，無需額外操作

登入網址說明

不同的第三方登入方式有不同的網址格式，以下為各登入方式的網址說明：

第三方登入後的權限分配

透過第三方登入（Keycloak、Azure AD、EIP）成功驗證後，使用者會自動加入對應的組織，無需額外的邀請流程。

權限分配機制

快速分配權限

若需要為多位第三方登入的成員批次設定權限，可使用批次成員與權限管理功能：

1. 準備角色：先在 角色權限管理 建立所需的角色

2. 批次分配：透過 成員管理：批次成員與權限管理 上傳 Excel 檔案，一次為多位成員指派角色

常見問題

Q：誰可以設定組織的登入方式？

只有組織擁有者可以設定和變更登入方式。其他角色（如管理員、成員）無此權限。

Q：切換登入方式會影響現有成員嗎？

會的。切換登入方式後，所有組織成員都必須使用新的登入方式。建議在非營業時間進行切換，並事先通知所有成員。注意：此操作無法復原。

Q：認證來源名稱有什麼限制？

• 不可使用系統保留名稱「MaiAgent」

• 名稱在整個系統中必須是唯一的

• 建議使用易於識別的名稱，如公司名稱或部門名稱

Q：組織可以同時支援多種登入方式嗎？

不行。每個組織在同一時間只能使用一種登入方式。如需切換，請在「組織設定」>「認證來源設定」中進行變更。

Q：設定完成後，如何讓成員知道登入網址？

設定完成後，系統會自動產生專屬的登入網址。建議透過以下方式分享給組織成員：

• SAML 登入：系統會顯示完整網址（例如：https://admin.maiagent.ai/auth/saml/MyCompany-SAML）

• Keycloak 登入：系統會提供登入網址或登入頁面連結

• EIP 登入：成員從企業入口平台點擊 MaiAgent 連結即可

可透過內部通訊管道（Email、即時通訊軟體、內部公告）將登入網址分享給成員，並說明切換時間和注意事項。

Q：透過第三方登入的新成員會有什麼權限？

新成員加入組織後，會自動獲得「預設角色」的權限，這適用於所有登入方式（包含第三方登入）。管理員可以在 角色權限管理 中調整預設角色的權限範圍。

Q：第三方登入失敗時該怎麼辦？

1. 確認企業的身份驗證服務（Keycloak/Azure AD/EIP）是否正常運作

2. 檢查登入網址是否正確：

   • Azure AD/SAML：https://{domain}/auth/saml/{authSource}

   • EIP：確認 Session ID 是否有效

3. 確認使用者在企業身份系統中的帳號狀態是否正常

4. 檢查 MaiAgent 中的認證來源設定是否正確（URL、憑證、密鑰等）

5. 如問題持續，請聯繫系統管理員或 MaiAgent 技術支援

Q：EIP 角色同步是如何運作的？

當使用 EIP 登入時，系統會讀取 EIP 回傳的角色清單（groupIds），並自動同步到 MaiAgent：

• 每次登入都會同步：確保權限與 EIP 端保持一致

• 完整替換策略：以 EIP 回傳的角色為準，移除不在清單中的舊角色

• 即時生效：同步完成後立即擁有新權限

這讓 IT 管理員只需在 EIP 端管理角色，員工調動或權限變更時無需額外在 MaiAgent 操作。

延伸閱讀

• 角色權限的詳細設定，請參閱 角色權限管理

• 手動批次管理成員權限，請參閱 成員管理：批次成員與權限管理