方案二:基于企业内部系统的无 CAM 子账号环境隔离
适用场景
适合有白标/品牌定制需求的企业:员工只接触企业自有域名,无感知腾讯云;可打通企业现有 SSO/LDAP 系统,实现统一登录。
方案概述
本方案通过企业内部系统作为授权中间层,将云开发登录流程与企业身份系统打通,无需为每位员工创建腾讯云账号:
- 员工使用企业内部账号(如工号、企业邮箱)登录,无需腾讯云账号
- 所有授权流程均在企业自有域名(
auth.your-domain.com)下完成 - 企业内部系统负责维护员工与云开发环境的映射关系
- 首次登录时自动为员工创建专属云开发环境
整体架构
登录流程
各方职责
| 角色 | 职责 |
|---|---|
| 企业内部系统 | 员工身份认证、维护员工↔环境映射、代理设备码申请并改写授权链接为企业域名、首次登录时自动创建环境 |
| OpenClaw | 作为员工操作入口,代替员工发起登录流程,展示授权链接和登录结果 |
| 腾讯云云开发 | 提供环境创建、设备码授权、临时密钥下发等能力 |
适用场景
- 白标/OEM 需求:企业不希望员工接触腾讯云品牌,以自有品牌提供 AI 开发环境
- 已有 SSO 系统:企业有统一身份认证系统(LDAP、企业微信、钉钉等),希望打通登录
- 合规要求:需要由企业自主管控员工与云资源的映射关系
- 精细化授权:企业希望自主控制员工可访问的环境列表
让员工只感知企业品牌,云开发在背后默默支撑。