# SSO/SAML调研评审报告

> 评审日期：2026-04-02
> 评审文档：`/home/long/project/立交桥/docs/sso_saml_technical_research_v1_2026-04-02.md`
> 参考基线：`/home/long/project/立交桥/docs/llm_gateway_prd_v1_2026-03-25.md`

---

## 评审结论

**CONDITIONAL GO**（有条件通过）

调研文档整体质量较高，满足技术选型参考需求。但存在以下需要关注的缺口：

1. **Azure AD 未纳入评估**：作为企业市场领导者之一（尤其在Microsoft 365生态中），缺失重要
2. **等保合规评估不足**：中国等保认证要求未得到充分分析
3. **PRD P2其他需求未覆盖**：审计报表、账务争议SLA、生态集成等维度未被纳入
4. **长期演进路径与PRD时间线对齐不足**：Keycloak迁移建议应在3-6个月而非"6个月+"

---

## 1. PRD P2需求覆盖

| 需求项 | PRD描述 | 调研覆盖状态 | 说明 |
|--------|---------|-------------|------|
| SSO/SAML/OIDC企业身份接入 | P2需求：企业身份集成（SSO/SAML/OIDC） | **完全覆盖** | 5个供应商详细分析，协议支持完整 |
| 合规能力包 | P2需求：合规能力包（审计报表、策略模板） | **部分覆盖** | 审计日志有提及，但深度不足；策略模板未覆盖 |
| 账务与财务对接 | P2需求：更长周期账务与财务对接 | **未覆盖** | 账务SLA、争议处理等未涉及 |
| 生态集成 | P2需求：生态集成（工单/告警/数据平台） | **未覆盖** | 超出本次调研范围，可理解 |

**已冻结决策对齐评估**：

| 已冻结决策 | 调研覆盖 | 说明 |
|-----------|---------|------|
| SSO/SAML/OIDC企业身份接入 | **完全满足** | 协议支持矩阵完整 |
| 审计报表与策略留痕导出 | **部分满足** | 仅提及审计日志功能，缺少报表导出能力分析 |
| 账务争议SLA与补偿闭环 | **未满足** | 完全未覆盖 |

**缺口风险**：审计报表能力是"企业版首批必含能力"之一，当前调研仅泛泛提及"审计日志"，未深入评估各方案的审计报表能力（如：自定义报表、导出格式、合规报告模板等）。

---

## 2. 合规风险评估

| 方案 | 数据出境风险 | 等保合规 | 合规认证 | 评估结论 |
|------|-------------|----------|---------|---------|
| Keycloak（自托管） | **无风险** | 可满足 | SOC2/ISO27001（部分） | **推荐** |
| Casdoor（自托管） | **无风险** | 可满足（待验证） | 无认证 | **推荐（谨慎）** |
| Ory（自托管） | **无风险** | 可满足（待验证） | 无认证 | **慎选** |
| Auth0 | **高风险** | 不可行 | SOC2/ISO27001 | **不推荐** |
| Okta | **高风险** | 不可行 | SOC2/ISO27001/FedRAMP | **不推荐** |

**合规评估缺口**：

1. **等保认证缺失**：Casdoor和Ory未取得等保认证，在中国市场（如政府、金融、医疗行业）可能存在准入障碍。调研仅标注"⚠️待验证"，未提供明确风险缓解建议。

2. **数据本地化验证路径**：调研指出Keycloak/Casdoor可满足数据本地化，但未说明：
   - 如何满足《网络安全法》的数据分类要求
   - 是否需要额外配置（如数据库加密、访问日志）

3. **行业特定合规**：PRD未明确目标行业，但金融、医疗、教育等行业的额外合规要求未被评估。

**中国合规建议**：文档应增加"等保合规验证清单"，明确自托管方案的验证步骤和潜在障碍。

---

## 3. 调研完整性

### 3.1 供应商覆盖

| 供应商类型 | 调研覆盖 | 未覆盖 | 备注 |
|-----------|---------|--------|------|
| 开源方案 | Keycloak, Casdoor, Ory | - | 覆盖完整 |
| 商业方案 | Auth0, Okta | **Azure AD** | **重要遗漏** |
| 中国特色 | Casdoor（微信/钉钉/飞书） | 腾讯云IDaaS、阿里云IDaaS、华为云IAM | 商业云IDaaS缺失 |

**Azure AD 缺失影响评估**：
- Azure AD（现Microsoft Entra ID）是企业SSO市场的领导者，尤其在Microsoft 365/Teams/SharePoint集成场景
- 大量企业客户已有Azure AD订阅，可降低集成成本
- 微软在中国有世纪互联运营的Azure China，合规风险低于直接使用境外服务
- **建议补充**：Azure AD评估，或明确说明"优先考虑纯OIDC/SAML集成，Microsoft生态留待后续"

### 3.2 评估维度完整性

| 维度 | 覆盖状态 | 缺口/建议 |
|------|---------|----------|
| 协议支持（SAML/OIDC） | **完整** | - |
| 功能特性 | **完整** | 缺少审计报表专项分析 |
| Go集成方案 | **完整** | - |
| 成本分析 | **较完整** | 缺少隐性成本（培训、故障处理） |
| 合规评估 | **部分** | 等保认证深度不足 |
| 供应商锁定风险 | **覆盖** | - |
| 迁移路径 | **覆盖** | 迁移成本估算不足 |
| 中国特色支持 | **覆盖** | 仅Casdoor，其他方案微信/钉钉支持未评估 |

### 3.3 行动建议评估

| 建议 | 可行性 | 风险 | 评估 |
|------|--------|------|------|
| MVP阶段采用Casdoor | **高** | 社区小，生产案例有限 | 合理，与Go技术栈对齐 |
| 中期迁移Keycloak | **中** | 迁移成本、数据迁移 | 方向正确，但"3-6个月"与PRD P2时间线对齐 |
| 长期评估Okta/Auth0 | **低** | 数据出境风险，成本高 | 决策树已明确"企业客户可选" |
| 实施周期：MVP 1-4周 | **待验证** | 微信/钉钉集成可能复杂 | 建议细化任务分解 |

**与PRD时间线对齐**：
- PRD P2时间线：6-12个月
- 调研行动建议：MVP 1-4周，中期 3-6个月
- **问题**：Keycloak迁移在"3-6个月"，属于P1阶段范畴，但P1阶段未列入SSO需求。实际P2启动应在6个月后，Keycloak迁移路径应规划在P2阶段内。

---

## 4. 技术可行性评估

### 4.1 Go技术栈兼容性

| 方案 | Go SDK | 集成复杂度 | 评估 |
|------|--------|-----------|------|
| Casdoor | **官方SDK** | 低 | **最优** |
| Ory | 社区SDK | 中 | 可接受 |
| Keycloak | 社区SDK | 中 | 可接受，但需额外适配层 |
| Auth0 | 官方SDK | 低 | 推荐但存在数据风险 |
| Okta | 官方SDK | 低 | 推荐但存在数据风险 |

**技术可行性结论**：Casdoor作为MVP在技术可行性上最优，与Go技术栈一致，集成成本最低。

### 4.2 集成复杂度评估

| 任务 | 调研估算 | 合理性 | 备注 |
|------|---------|--------|------|
| Casdoor部署 | 1天 | **合理** | - |
| OIDC集成 | 2天 | **合理** | - |
| Token中间件 | 2天 | **合理** | - |
| 微信/钉钉对接 | 3天 | **偏乐观** | 微信OAuth需要企业资质，审批流程可能较长 |
| 测试和文档 | 2天 | **偏乐观** | 建议增加5天缓冲 |

---

## 5. 改进建议

### 5.1 高优先级（建议补充）

1. **补充Azure AD评估**
   - 微软Entra ID（Azure AD）是企业SSO的事实标准
   - 中国区有世纪互联运营版本，合规风险低于纯境外方案
   - 至少增加一页"Microsoft生态集成说明"

2. **深化等保合规分析**
   - 明确各方案的等保认证状态
   - 提供等保验证清单和潜在障碍
   - 说明自托管方案的合规验证路径

3. **补充审计报表能力评估**
   - 各方案的审计日志深度
   - 自定义报表能力
   - 合规报告模板支持（如：SOX、GDPR数据主体访问请求）

### 5.2 中优先级（建议增强）

4. **成本模型细化**
   - 增加隐性成本（培训、运维学习曲线）
   - 增加故障处理成本估算
   - 商业支持的实际获取成本和响应SLA

5. **迁移路径深化**
   - Keycloak迁移的具体步骤和风险点
   - 数据迁移方案（用户、权限、审计日志）
   - 从Casdoor迁移到Keycloak的兼容层设计

6. **实施周期修正**
   - 微信/钉钉对接考虑企业资质审批时间
   - 增加缓冲时间（建议MVP总周期1-2个月）
   - 明确SAML支持作为独立里程碑

### 5.3 低优先级（可选）

7. **补充腾讯云IDaaS/阿里云IDaaS评估**（如果目标客户有强需求）
8. **增加供应商存活风险评估**（Casdoor/Ory是否会被大厂收购/停止维护）
9. **补充性能基准测试数据**（各方案在2C4G/4C8G配置下的QPS）

---

## 6. 最终结论

### 6.1 整体评价

| 维度 | 评分 | 说明 |
|------|------|------|
| PRD需求覆盖 | 7/10 | SSO/SAML/OIDC完整，审计报表不足，其他未覆盖 |
| 合规评估 | 7/10 | 数据出境风险识别准确，等保深度不足 |
| 供应商覆盖 | 8/10 | 主流方案覆盖，Azure AD缺失 |
| 技术可行性 | 9/10 | 与Go技术栈对齐，集成方案详细 |
| 行动建议 | 8/10 | MVP推荐合理，路径清晰 |

**综合评分：7.8/10**

### 6.2 使用建议

**本调研文档可作为以下用途的依据**：
- Casdoor作为MVP的技术可行性确认
- Keycloak作为中期演进方向的参考
- 合规风险（数据出境）的决策依据

**本调研文档不足以支持以下决策**：
- 最终供应商选型（Azure AD缺失）
- 企业版审计报表能力规划
- 等保合规验证路径

### 6.3 建议行动

1. **立即行动**：补充Azure AD评估（1-2天工作量），或明确将Microsoft生态列入"后续迭代"
2. **2周内完成**：深化等保合规分析，明确自托管方案的验证路径
3. **MVP阶段关注**：基于Casdoor实现快速验证，同时保持对Keycloak迁移路径的兼容性设计

---

**评审人**：Claude AI
**评审版本**：v1.0
**评审日期**：2026-04-02