# Onboarding

### 概述

Cline 企业版通过 WorkOS 与你现有的身份提供商（IdP）集成，提供安全的 SSO 和零接触用户生命周期管理。在本指南中，你将连接你的 IdP（Okta、Azure AD、Google Workspace 或任何 SAML/OIDC 提供商），启用即时（JIT）预配，以便新用户在首次登录时自动创建，并配置角色映射，使权限与你的目录保持一致——无需手动邀请或座位协调。

### 先决条件

* [Cline 企业版许可证](https://cline.bot/enterprise)
* 访问你的身份提供商（IdP）配置（例如，Okta、Azure AD、Google Workspace）
* 了解你组织的 SSO 要求

### 配置步骤

#### 步骤 1：接入 Cline 企业版许可证

在接入期间，你的 IdP 管理员将收到一封电子邮件，其中包含通过 WorkOS 注册其组织的链接。

#### 步骤 2：配置你的身份提供商

将你的身份提供商（IdP）连接到 WorkOS：

1. 在 WorkOS 仪表板中，转到 **AuthKit → Connections**
2. 单击 **Add Connection**
3. 选择你的身份提供商（例如，Okta、Azure AD、Google Workspace、通用 SAML/OIDC）
4. 遵循提供商特定的设置说明

每个身份提供商（IdP）都有自己的设置过程和必填字段。请务必遵循 WorkOS 仪表板中为你选择的提供商提供的具体说明。 有关连接 IdP 的更明确说明，请参阅 [WorkOS SSO 文档](https://workos.com/docs/authkit/sso)

#### 步骤 3：配置用户预配

Cline 企业版使用自动工作的**即时预配**：

* **组织自动创建**
* **用户在其首次 SSO 登录时自动获得访问权限**，一旦他们的凭据已由 IdP 管理员配置。
* **角色从你的 IdP 自动同步**（Admin/Owner → Admin，Member → Member）
* **无需手动用户邀请或座位管理**需要

无需额外配置。当用户通过 SSO 登录时，会自动为他们预配。

#### 步骤 4：配置用户属性映射

用户角色从你的 IdP 自动映射：

* IdP 中的 **Admin** → Cline 中的 **Admin** 角色（注意：组织的第一个所有者在接入期间手动创建）
* IdP 中的 **Member** → Cline 中的 **Member** 角色

有关每个角色可以访问的内容，请参阅\[角色和权限]\(/enterprise-solutions/team-management/managing-members)页面。

如果需要，你可以在 Cline 管理控制台中配置额外的用户属性：

1. 转到 **设置 → 身份验证 → 用户属性**
2. 根据 IdP 配置映射属性，如电子邮件和名称

有关可用用户属性的信息，请参阅 [WorkOS 用户对象文档](https://workos.com/docs/authkit/user-management)。

#### 步骤 5：测试 SSO 连接

在允许用户登录之前，测试 SSO 流程以确保所有内容配置正确。

**要测试连接：**

1. 在 WorkOS 仪表板（或 Cline 管理控制台，如果可用）中，找到并单击 **Test SSO Connection**
2. 你将被重定向到 IdP 的登录页面
3. 输入测试用户的有效凭据
4. 成功身份验证后，你应该被重定向回来
5. 确认用户的信息（姓名、电子邮件、角色）正确显示

\*\*预期结果：\*\*测试用户已通过身份验证，他们的账户详细信息可见，并且他们的角色与你的 IdP 中配置的匹配。

\*\*如果测试失败：\*\*仔细检查你的 IdP 配置（重定向 URI、SAML 证书、属性映射）。有关故障排除指导，请参阅 [WorkOS SSO 文档](https://workos.com/docs/authkit/sso)。

#### 用户访问

配置 SSO 后，你的 IdP 中的用户可以自动访问 Cline，无需手动邀请或账户设置。

**首次登录流程：**

1. 用户导航到 Cline 并单击 **Sign in with SSO**
2. 用户通过你组织的 IdP 进行身份验证
3. Cline 在你的组织中自动创建他们的账户
4. 根据他们的 IdP 角色分配角色（参见[步骤 4](#step-4-configure-user-attributes-mapping)）
5. 用户被重定向到 Cline 并可以开始工作

**自动发生的事情：**

* 使用正确的组织分配创建账户
* 角色和权限分配
* 从 IdP 填充的基本配置文件信息（姓名、电子邮件）

\*\*无需操作：\*\*用户无需请求访问或等待批准。在成功进行 IdP 身份验证后，立即授予访问权限。

#### 管理访问

当前，所有用户访问管理和撤销都由你的 IdP 处理：

* 添加用户 → 在首次登录时自动授予访问权限
* 更改角色 → 在下次登录时更新
* 删除用户 → 自动撤销访问权限

角色更改在用户下次登录时自动同步。

#### 更改你的 IdP

要切换到不同的 IdP，请联系支持团队，我们将指导你完成此过程。

***

### 验证

验证成功配置的步骤：

1. **测试用户登录**：让测试用户通过 SSO 流程登录（在首次登录时自动授予访问权限）
2. **验证用户预配**：确认用户已自动创建并具有适当的角色权限
3. **检查用户属性**：验证用户信息（姓名、电子邮件、组织）是否正确填充
4. **测试角色更改**：在你的 IdP 中更新用户的角色，并验证其在下次登录时同步
5. **测试用户取消预配**：从你的 IdP 中删除用户，并验证他们在下次登录尝试时失去对 Cline 的访问权限
6. **审查审计日志**：检查 WorkOS 审计日志，确保正在记录身份验证事件

***