平台为所有对话方提供单一的身份模型。三种凭证家族覆盖三种常见角色,自托管的 OIDC 颁发者则支撑面向用户的部分。Documentation Index
Fetch the complete documentation index at: https://docs.cyberun.cloud/llms.txt
Use this file to discover all available pages before exploring further.
凭证家族
| 家族 | 前缀 | 持有者 | 用于向哪里身份验证 |
|---|---|---|---|
| 集成凭证 | sk- | 脚本、CI、合作伙伴集成、MCP 客户端。 | REST API 运行时端点(/r/)、MCP 服务器。 |
| 设备凭证 | dk- | Cyberun CLI 与其它已配对设备。 | REST API(管理 + 运行时)。 |
| 代理凭证 | ak- | 向网关进行身份验证的 Cyberun 代理。 | 代理网关。 |
dk-)。集成凭证 (sk-) 和代理凭证 (ak-) 会被拒绝,因为它们不代表已登录用户。设备凭证可通过 POST /auth/device/revoke 自我撤销;该调用也会撤销设备配对时随之创建的配套代理凭证 (ak-)。
每种凭证发放方式的用户侧操作指引见 Cloud → 凭证。HTTP 层的认证规则(哪个请求头放哪儿、哪种凭证携带团队范围)见 API 参考。
OIDC 颁发者
每个部署都运行一个自托管的 OIDC 颁发者,负责签发平台中使用的令牌。该颁发者掌管:- 发现 —— 标准 OpenID Connect 发现文档与 JWKS 端点。任意兼容的客户端无需 Cyberun 专属代码即可校验令牌。
- 令牌签名密钥 —— 按运维方的节奏轮换。
- 会话 —— 短期访问令牌;按运维方策略提供更长效的刷新令牌。
oidc_provider —— 参见功能目录)。开启后,外部应用可以注册为 OIDC 客户端,并通过 Cyberun 联邦登录 —— 例如让一个合作伙伴工具获得由 Cyberun 用户目录支撑的单点登录。
终端用户登录选项
登录屏上对用户开放的选项由许可证控制:| 能力 | 许可证标志 | 状态 |
|---|---|---|
| 邮箱 + 密码注册 | registration | 在已开启自助注册的部署上可用。 |
| 通过 Google 登录 | oauth | 可用;按部署配置。 |
| 额外的上游 OAuth / OIDC 提供商 | oauth | 正在开发中。 |
| Cyberun 作为 OIDC 颁发者(应用通过 Cyberun SSO) | oidc_provider | 可用;将外部应用注册为 OIDC 客户端。 |
| 不支持 OIDC 的企业 IdP | — | 今天可在 Cyberun 前面接入一个 OIDC 代理来实现联邦。 |
registration 与 oauth,通过带外方式开通用户;SaaS 部署则将两者都开启用于自助流程。
跨站点联邦
在多站点部署中,OIDC 颁发者可以被配置为签发在信任网中每个站点都生效的令牌。具体拓扑(单个颁发者并复制密钥,或在信任圈中放多个不同颁发者)是部署期决策;两种形态都受支持。站点联邦运行手册目前由合作伙伴主导;公开指引正在编写中。令牌 TTL 与轮换
会话生命周期、刷新令牌生命周期与签名密钥轮换频率按部署可配。Cyberun 托管服务出厂默认值是为 SaaS 场景调优的;本地部署通常会收紧。配置参考与建议的收紧指引正在作为公开部署指南的一部分编写中;联系我们获取当前值。许可证交互
若干许可证授权门控着与身份相邻的功能。其中的 Global 项 ——registration、oauth、email、oidc_provider、auto_team —— 以及 Account 功能 manual_team_creation 和 team_invitation_accept,均列在功能目录中。
另见
- 架构 —— OIDC 颁发者在接口图中的位置。
- 许可证管理 —— 身份功能如何到达一次部署。
- 功能目录 —— 与身份相邻的所有开关及其默认值的完整列表。
- Cloud → 凭证 —— 三种凭证家族的用户侧视角。