Zilliz Cloud 如何支持企业级身份与权限管理

2026-07-063 分钟阅读

当我们构建企业级Agent或者知识库时,在产品功满足业务需求后,我们还需要重点关注身份和权限治理是否可控。

进一步,身份和权限治理又会落到几个具体问题上:谁能登录,登录以后能做什么,员工入职、转岗、离职时权限是否及时变化。

过去,这些工作长期依赖人工维护,组织规模变大后很容易出现新员工不能第一时间自动分配账号,离职员工的访问入口没有及时关闭,工程师因为临时排障拿到了长期过大的权限。

也是因此,在做底层infra选型时,我们就需要选择一个具备成熟企业级身份与权限管理的SaaS,能把我们担心这些事情放进一套可管理、可审计、可持续运行的机制里。

对 Zilliz Cloud 来说,这套机制可以拆成三层来看:

  • 统一登录:员工用企业账号登录 Zilliz Cloud。
  • 目录同步:企业身份系统把用户、group 和成员关系同步到 Zilliz Cloud。
  • 权限控制:Zilliz Cloud 根据角色和资源范围,判断用户能做什么。

一张图看懂整体关系

以下是企业身份治理的完整链路。

企业侧身份源通过 SSO/SAML 完成用户登录身份认证,同时通过 SCIM 协议将用户、部门 / 职责分组及成员从属关系自动同步至平台目录体系,再经由分组映射规则将企业内部的用户组,对应转换为平台内指定资源范围的权限角色,最终由 ACL/RBAC 访问控制体系依据角色权限与组织、项目、集群三级资源边界判决每一次操作的放行或拒绝。

这样一套架构,是我们实现身份统一管理、权限自动映射,兼顾企业安全合规与运维效率的根本保障。

接下来的内容,我们将对这些模块一一解读。

(针对图中环节,我们需要注意登录和授权分属两个环节。用户能通过 SSO 登录,表示企业 IdP 已经确认这个用户身份可信。这个用户进入 Zilliz Cloud 后能不能查看某个项目、管理某个集群、创建 API key,还要看后面的角色和权限配置。)

如何用 SSO实现统一登录

SSO(Single Sign-On,单点登录)解决的是登录入口问题。企业员工不需要在 Zilliz Cloud 里单独设置一套密码,可以直接使用公司统一账号登录。企业原有的登录策略也能继续发挥作用,比如多因素认证、密码策略、账号禁用策略和登录审计。

在这条链路中,企业的身份系统叫 IdP(Identity Provider,身份提供方)。常见的 IdP 包括 Okta、Microsoft Entra ID、Google Workspace、Ping Identity、OneLogin 等。Zilliz Cloud 作为企业应用,信任 IdP 返回的登录结果。

SAML(Security Assertion Markup Language,安全断言标记语言)是实现企业 SSO 的常见协议之一。SSO 描述的是用户体验和产品能力;SAML 则是 IdP 和 Zilliz Cloud 之间完成登录认证的一种标准语言。

一个典型的 SAML SSO 登录流程是:

配置上,管理员通常会先在企业 IdP 中创建 Zilliz Cloud 企业应用(enterprise application),再在 Zilliz Cloud 中保存 SSO 连接信息。SAML 场景会涉及登录地址、证书、元数据(metadata)和用户属性映射;Okta 连接(Okta connection)场景会涉及 Okta 域名(Okta domain)、客户端 ID(client ID)、客户端密钥(client secret)等信息。

建议先用测试账号完成登录验证,再启用 SSO enforcement。SSO enforcement 指“强制使用企业 SSO 登录”:启用后,组织成员应通过企业身份系统进入 Zilliz Cloud,登录入口会收口到企业统一策略下。

目录同步:SCIM 解决人和 group 怎么自动更新

SSO 只解决登录,不负责持续维护用户目录。

比如,一个员工加入 Data Engineering 团队,企业 IdP 知道某个员工从公司离职,企业 IdP 也知道这件事。但这些变化如果没有同步到 SaaS 产品里,管理员仍然要在每个产品里手动加人、删人、改 group。

SCIM(System for Cross-domain Identity Management,跨域身份管理系统)用于把这类目录变化同步给 Zilliz Cloud。它是一种标准目录同步协议,让企业 IdP 可以把用户、group 和成员关系推送给 Zilliz Cloud。

在实际使用中,企业管理员会在 Zilliz Cloud 中获取 SCIM 接口地址(SCIM endpoint)和令牌(token),再把它们填入 IdP 的账号开通与维护配置里。这里的 provisioning 包括:新员工加入时创建或激活账号,员工换团队时调整 group,员工离职时停用账号或移除成员关系。

SCIM 的的设计边界上,它会同步 group,但不直接授予资源权限,这个 group 在 Zilliz Cloud 里能做什么,需要由 后续Group Mapping 和角色权限继续决定。

从 group 到权限:Group Mapping确定谁应该有什么权限

企业 IdP 里的 group 通常表达组织关系或职责范围,比如 Data EngineersDBA TeamRead Only Users。这些 group 对企业很有意义,但 Zilliz Cloud 不能只看到 group 名字就自动知道它应该拥有什么权限。

Group Mapping 的作用,就是把企业 group 映射成 Zilliz Cloud 中可以执行的角色和资源范围。

举个例子:

企业 IdP 中的 Data Engineers group 可以通过 Group Mapping 绑定到某个项目的工程师角色。这个 group 里的成员随后可以访问指定项目下的相关资源。

管理员因此不必给每个用户单独配置权限。员工在企业 IdP 中加入或离开对应 group 后,Zilliz Cloud 侧的权限关系可以随 group 变化而更新。

这三层的职责可以拆开看:

SCIM 负责同步 group,Group Mapping 负责解释 group,ACL / RBAC 负责执行权限判断。它们不是三套互相替代的能力,而是身份同步到权限生效之间的三个连续环节。

权限控制:ACL / RBAC 确定进来以后能做什么

登录成功不代表什么都能做。用户进入 Zilliz Cloud 后,每一次访问都需要落到具体资源和具体操作上。

在 Zilliz Cloud 的场景中,资源可以是组织(organization)、项目(project)、集群(cluster)、存储卷(volume)等;操作可以是查看、创建、修改、删除、管理成员、管理账单或管理访问凭证。不同用户在不同资源上的权限不一定相同。

ACL(Access Control List,访问控制列表)强调的是“谁对什么资源有什么权限”。RBAC(Role-Based Access Control,基于角色的访问控制)强调的是“先把权限收敛成角色,再把角色分配给人或 group”。在实际产品里,这两种思路经常一起出现:管理员看到的是角色和资源范围,系统执行时则要判断用户是否具备某个资源上的某个操作权限。

可以把权限判断理解成下面这条流程:

客户通常不关心底层采用哪张表、哪种存储模型,更关注权限边界是否清晰:谁是组织管理员,谁只能看账单,谁能管理某个项目,谁只能读某个集群,谁可以使用 API key 访问生产资源。

当前支持的 IdP

Zilliz Cloud 面向企业客户提供基于标准协议的身份接入能力。企业可以通过 SAML 2.0 完成 SSO 接入,也可以在支持 SCIM 2.0 的 IdP 中配置目录同步。

常见的企业 IdP 包括:

IdP常见用途在企业接入中的位置
Okta企业 SSO、目录、应用访问管理可用于 SSO 连接和用户 / group 管理。
Microsoft Entra IDMicrosoft 企业身份平台可作为企业 IdP,承载登录、用户和 group 管理。
Google WorkspaceGoogle 企业账号体系可作为企业账号来源,并通过标准企业登录协议接入。
Ping Identity企业身份与访问管理可作为企业 IdP,用于统一登录和访问治理。
OneLogin企业身份与访问管理可作为企业 IdP,用于统一登录和应用访问管理。

供应商名称只是入口,接入方式取决于这些 IdP 是否能提供标准的统一登录和目录同步能力。Zilliz Cloud 围绕 SSO、SAML、SCIM、Group Mapping 和访问控制组织企业身份接入,让管理员可以沿着同一套思路完成登录、同步和授权治理。

管理员要如何配置

企业管理员可以按从登录到授权的顺序配置。这种顺序便于排查问题,也更符合企业内部的上线流程。

1. 配置 SSO

管理员先在企业 IdP 中创建 Zilliz Cloud 企业应用,再在 Zilliz Cloud 中配置 SSO 连接。配置完成后,建议使用测试账号验证登录流程,包括是否能正确跳转到企业 IdP、是否能返回 Zilliz Cloud、用户邮箱和姓名等属性是否匹配。

登录验证通过以后,再启用 SSO enforcement,避免还没测试完成就影响整个组织的登录入口。

2. 启用 SCIM

SSO 验证完成后,再启用 SCIM 目录同步。管理员从 Zilliz Cloud 获取 SCIM 接口地址和令牌,在企业 IdP 中填入账号开通与维护配置,并选择要同步的用户、group 和成员关系。

建议先同步一个测试 group,确认用户、group 和成员关系在 Zilliz Cloud 中符合预期,再扩大到生产 group。

3. 配置 Group Mapping 和角色

SCIM group 进入 Zilliz Cloud 后,管理员需要决定每个 group 对应哪些角色和资源范围。常见做法是先从组织和项目边界开始:管理员 group 负责组织级管理,工程师 group 绑定到具体项目,只读 group 限制在查看范围内。

这里建议遵循最小权限原则。不要因为配置方便,就给所有工程师默认全组织权限。权限应该尽量贴近真实职责:谁管理组织,谁管理账单,谁管理项目,谁只能查看生产资源。

4. 管理机器身份

企业访问治理也要覆盖机器身份。

API key(Application Programming Interface key,应用程序接口密钥)和 Service Account(服务账号)通常用于应用服务、自动化脚本、持续集成 / 持续交付(CI/CD,Continuous Integration / Continuous Delivery)和运维任务。它们不会通过浏览器完成 SSO 登录,但访问的是同一批生产资源。

管理员需要为机器身份设置清晰的 owner、权限范围和轮换策略。个人 API key 应随用户离职或权限变化进入撤权流程;Service Account 应绑定必要角色,不能用共享高权限账号代替权限模型。

两个典型场景

下面这张图把入职、离职和转岗放在一起看。人的组织关系在企业 IdP 中维护,Zilliz Cloud 通过 SCIM 接收变化,再通过 Group Mapping 和访问控制更新权限效果。

新员工入职

假设一名新员工加入数据工程团队。

企业管理员先在 IdP 中把这个员工加入 Data Engineers group。随后,SCIM 把用户和 group 成员关系同步到 Zilliz Cloud。Zilliz Cloud 根据 Group Mapping,知道 Data Engineers 对应某个项目的工程师角色。员工第一次通过 SSO 登录后,就能看到自己有权限访问的资源。

这个流程里,管理员没有在 Zilliz Cloud 中逐个给用户点权限。主要管理动作发生在企业 IdP 和 Group Mapping 上。

员工离职或转岗

再看离职或转岗。

员工离职时,企业 IdP 中的账号会被禁用或从相关 group 移除。SCIM 将变化同步到 Zilliz Cloud 后,原来的 group 关系不再成立,对应权限也应该随之失效。员工转岗时也是类似逻辑:从一个 group 移到另一个 group,Zilliz Cloud 中的角色和资源范围也跟着变化。

权限跟随企业身份目录变化,管理员不需要依赖记忆去逐个产品手动修改。

尾声

整体来看,Zilliz Cloud 的企业级身份与权限管理搭建了一条完整的访问治理链路:员工用企业账号登录,企业可以继续使用自己的登录策略和安全审计。用户和 group 从企业 IdP 同步,减少手动维护。Group Mapping 把企业组织关系转换成 Zilliz Cloud 中的角色。ACL / RBAC 在用户访问资源时执行权限判断。API key 和 Service Account 也被纳入同一套治理思路,避免机器身份成为权限盲区。

对企业管理员来说,这套机制最终回答的是三个问题:

  • 谁可以进入 Zilliz Cloud?
  • 进入以后可以访问哪些资源、执行哪些操作?
  • 人员变化时,访问权限能不能及时、可控地变化?

把这三个问题讲清楚后,企业在使用 Zilliz Cloud 管理向量数据库和生产数据时,就可以把访问入口、人员目录和资源权限放进同一套治理框架里。

专业名词附录

术语英文全称中文说法简要说明
IdPIdentity Provider身份提供方企业自己的身份系统,负责确认“这个人是谁”。
SSOSingle Sign-On单点登录员工用公司账号登录多个企业应用,不需要为每个应用单独管理密码。
SAMLSecurity Assertion Markup Language安全断言标记语言一种常见的企业登录协议,用来让 IdP 和 SaaS 产品完成登录认证。
SCIMSystem for Cross-domain Identity Management跨域身份管理系统一种目录同步标准,用来同步用户、group 和成员关系。
GroupGroup用户组企业身份系统中的用户分组,通常对应团队、部门或职责。
Group MappingGroup Mapping用户组映射把企业 group 映射成 Zilliz Cloud 中的角色和资源范围。
ProvisioningProvisioning账号开通与维护自动创建、更新、停用用户账号和成员关系。
ACLAccess Control List访问控制列表记录“谁可以对什么资源做什么操作”。
RBACRole-Based Access Control基于角色的访问控制先定义角色,再把角色分配给用户或 group。
API keyApplication Programming Interface key应用程序接口密钥程序访问 Zilliz Cloud API 时使用的凭证。
Service AccountService Account服务账号给自动化任务、应用服务或持续集成 / 持续交付使用的机器身份。

AI Assistant