跳到主要内容

身份认证

技术方案

采用 Google Identity-Aware Proxy(IAP) + Google Workspace,天然与 GCP 基础设施集成。

登录流程

1. 员工访问 portal.sayclaw.ai
2. 自动跳转 Google 登录页
3. 验证:必须是 @公司域名 邮箱
4. IAP 签发 JWT(包含 email / 部门 / 角色)
5. 系统查询员工-实例映射表
6. 颁发 OpenClaw 访问 Token
7. 跳转到对应的 WebChat UI

核心优势

特性说明
零密码管理复用 Google 账号,无需单独密码
自动失效Workspace 停用账号即失效
MFA 支持继承 Google 的 2FA 策略
审计日志GCP Cloud Audit Logs 自动记录

配置要点

# GCP IAP 配置
iap:
  enabled: true
  oauth2_client_id: <your_client_id>
  allowed_domains:
    - company.com  # 只允许公司邮箱

员工数据结构

{
  "email": "[email protected]",
  "name": "张三",
  "department": "技术",
  "instances": ["instance-tech-01"],
  "quota_daily_tokens": 100000,
  "status": "active",
  "created_at": "2026-01-01",
  "revoked_at": null
}