> ## Documentation Index
> Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# 单点登录（SAML）

> 让您的团队通过组织的身份提供商登录 Wave

<Info>
  适用于 **Enterprise** 计划。
</Info>

## 概述

SAML SSO 允许您的团队通过组织的身份提供商（IdP）登录 Wave。用户无需管理单独的 Wave 密码，而是使用他们用于其他所有服务的相同凭据进行身份验证。

Wave 支持 **SAML 2.0**，兼容任何符合标准的身份提供商，包括 Okta、Microsoft Entra ID、Google Workspace、OneLogin、JumpCloud 和 Ping Identity。

Wave 还支持 **OpenID Connect（OIDC）**。如需指南，请联系 [support@wavecnct.com](mailto:support@wavecnct.com)。

## 工作原理

根据用户是否已有 Wave 账户，有两种登录路径。

<Tip>
  用户也可以直接通过以下 URL 发起 SSO 登录：`https://app.wavecnct.com/auth/sso?org=YOUR_ORG_SLUG`。将 `YOUR_ORG_SLUG` 替换为您的组织标识符（可在组织设置中找到）。
</Tip>

**尚无账户**：用户在 Wave 登录页面点击 **使用 SSO 登录** 并输入您组织的用户名（可在组织设置中找到）。Wave 将其重定向到您的身份提供商，用户完成身份验证后，账户将在首次登录时自动创建。

**已有账户且强制使用 SSO**：用户照常输入邮箱。Wave 检测到该用户所在组织已强制使用 SSO，并将其重定向到身份提供商进行身份验证。

<Tip>
  我们建议提前通过 [SCIM](/security/scim) 预配用户，确保账户在团队首次登录前就已准备好。
</Tip>

## 设置

SAML SSO 由 Wave 团队负责配置。设置步骤如下：

<Steps>
  <Step title="获取 Wave 的 SAML 详情">
    联系您的 Wave 客户经理或发送邮件至 [support@wavecnct.com](mailto:support@wavecnct.com)。他们将提供：

    * **ACS URL**（断言消费者服务 URL）
    * **Entity ID**
    * **Name ID 格式**：邮箱地址
  </Step>

  <Step title="在 IdP 中创建 Wave 应用">
    在您的身份提供商中，使用上一步的 ACS URL 和 Entity ID 创建新的 SAML 2.0 应用。
  </Step>

  <Step title="与 Wave 共享 IdP 元数据">
    复制您身份提供商的 **SAML 元数据 URL**（或下载 XML 文件）并发送给您的 Wave 客户经理。
  </Step>

  <Step title="测试并启用">
    Wave 完成连接配置。在为整个组织启用 SSO 之前，先使用测试用户进行验证。
  </Step>
</Steps>

## 强制使用 SSO

启用 SSO 后，您可以强制所有用户必须通过身份提供商登录，禁用组织的密码登录方式。

测试完成后，请联系您的 Wave 客户经理以强制执行 SSO。