3 分钟 SSO 演示脚本

0:00 - 0:30 背景

“我们现在展示 AgenticX Enterprise 的统一认证能力。目标是接入客户现有 IdP（比如 Keycloak/Entra/IDaaS），而不是让客户迁移账号体系。”

0:30 - 1:30 演示前台 SSO

1. 打开 web-portal 登录页，点击「企业 SSO」。
2. 跳转到 IdP 登录页，输入测试账号。
3. 登录成功后自动回到 /workspace。
4. 说明：首次登录可按策略自动建立本地账号（JIT），后续走同一权限体系。

1:30 - 2:20 演示后台 SSO + 权限控制

1. 打开 admin-console 登录页，点击「企业 SSO 登录」。
2. 用有 admin:enter 的账号登录，进入 /dashboard。
3. 再用普通账号尝试，页面提示 admin_scope_missing（演示最小权限原则）。

话术 · 为什么 admin 端不做 JIT：管理后台账号默认由运营/超管预先开通并授予 admin:enter 等权限；SSO 仅承担认证与身份映射，不在登录瞬间自动创建高敏后台账号，避免「首次登录即获后台身分」的窗口风险。前台 portal 仍可按计划启用 JIT / 默认角色，由策略开关控制。

2:20 - 2:50 演示配置管理

1. 进入 /settings/sso。
2. 展示 provider 列表、启用/停用、保存配置。
3. 点击连通性测试（如演示环境可用）。

2:50 - 3:00 收口

“我们采用的是标准 OIDC SSO，不自建 OAuth2 授权服务器。这样接入快、风险小，能直接复用企业现有认证体系并保留审计与权限管控能力。”