设置
您可以独立控制以下两个设置来管理用户如何加入您的组织。JIT配置
jit_provisioning_enabled 设置控制自动用户配置。启用后,通过您的SSO提供商认证的用户将自动添加到您的组织中,并分配到默认的工作空间,拥有默认的角色。更多详情,请参阅配置默认SSO设置。禁用时,用户必须通过SCIM明确邀请或添加,才能访问组织。
邀请
invites_enabled 设置控制手动用户邀请。启用后,组织管理员可以在用户登录前发送邀请。受邀用户可以通过SSO登录时认领邀请。禁用时,不允许手动邀请,用户只能通过JIT配置或SCIM加入。
更新设置
您可以在LangSmith UI或使用LangSmith API更新这些设置:- UI
- API
在LangSmith UI中:
- 导航到 设置 → 组织 → 访问与安全 → 常规。
- 根据需要切换 启用JIT配置 和 允许邀请。
- 在 设置 → 组织 → SSO配置 中配置SSO默认工作空间和角色。
如果您正在使用LangSmith自托管,请考虑以下事项:
- JIT配置和邀请设置仅适用于默认组织(由
default_sso_provision=true标识)。其他组织在自托管环境中必须使用邀请。 - 环境变量
SELF_HOSTED_JIT_PROVISIONING_ENABLED可以全局覆盖JIT配置设置。设置为false时,无论各个组织的单独设置如何,所有组织的JIT配置都将被禁用。 - 有关自托管用户管理的其他自定义选项,请参阅自定义用户管理。
用户访问权限的工作原理
当用户尝试通过SSO登录时,LangSmith遵循以下决策流程:- 用户通过SSO提供商进行认证。
- LangSmith检查用户是否已拥有组织访问权限:
- 检查邀请是否启用 且 存在待处理的邀请:
- 检查JIT配置是否启用:
当JIT配置和邀请都启用时,邀请优先。如果用户有待处理的邀请,他们将使用邀请的内容被添加,而不是默认的SSO设置。
配置场景
开放访问(两者都启用)
配置:- ✓ JIT配置启用
- ✓ 邀请启用
- 用户可以通过SSO立即登录并自动配置。
- 管理员可以发送邀请以分配特定角色或工作空间。
- 受邀用户获得邀请配置;非受邀用户获得默认SSO配置。
仅JIT(邀请禁用)
配置:- ✓ JIT配置启用
- ✗ 邀请禁用
- 所有通过SSO认证的用户都会自动配置。
- 管理员无法发送邀请。
- 所有新用户都获得相同的默认工作空间和角色。
仅邀请(JIT禁用)
配置:- ✗ JIT配置禁用
- ✓ 邀请启用
- 用户必须被邀请才能访问组织。
- 没有邀请的用户即使拥有有效的SSO凭据也会被拒绝访问。
- 可以精细控制谁可以访问组织。
封闭访问(两者都禁用)
配置:- ✗ JIT配置禁用
- ✗ 邀请禁用
- SSO用户无法自动加入组织。
- 无法发送邀请。
- 用户必须通过SCIM或由管理员在用户已通过SCIM成为组织成员后直接配置。
用户访问权限快速参考
| JIT启用 | 邀请启用 | 待处理邀请 | 结果 |
|---|---|---|---|
| ✓ | ✓ | 是 | 邀请被认领(使用邀请配置) |
| ✓ | ✓ | 否 | 自动配置(使用默认SSO配置) |
| ✓ | ✗ | 不适用 | 自动配置(使用默认SSO配置) |
| ✗ | ✓ | 是 | 邀请被认领 |
| ✗ | ✓ | 否 | 访问被拒绝 - 必须被邀请 |
| ✗ | ✗ | 不适用 | 访问被拒绝 - 必须使用SCIM或管理员 |
配置默认SSO设置
当JIT配置启用时,为新用户配置默认设置:- 默认工作空间角色。选择用户自动配置时获得的工作空间角色。有关每个角色的权限详情,请参阅组织和工作空间操作。选项包括:
-
默认工作空间。选择一个或多个用户自动加入的工作空间。用户在所有选定的工作空间中获得相同的角色。配置方法:
- 转到 设置 → 组织 → SSO配置。
- 设置 默认工作空间角色。
- 选择 默认工作空间。
- 保存您的配置。
SCIM集成
如果您的组织使用SCIM(跨域身份管理系统),用户可以通过您的身份提供商自动配置和管理。SCIM提供了另一种用户管理机制,与JIT和邀请设置协同工作。SCIM组成员身份会覆盖手动分配的角色或通过JIT配置分配的角色。如果您正在使用SCIM,请考虑禁用JIT配置以避免冲突。
相关文档
Connect these docs to Claude, VSCode, and more via MCP for real-time answers.