在 Token Plan 控制台或管理平台中添加和管理团队成员、分配和回收席位、监控 Credits 用量。
访问入口
阿里云主账号或 RAM 用户:登录Token Plan 控制台,在我的订阅页面进行团队管理:在团队版卡片点击设置修改组织名称、登录方式(SSO/钉钉)等;在订阅明细区域点击分配座席进入成员管理。
通过 SSO 或钉钉加入的成员:通过管理员分发的管理平台地址登录管理平台。管理平台地址可在设置页面的基本信息区域获取。
角色与权限
|
角色 |
权限 |
|
所有者 |
添加或移除成员、分配或回收席位、修改成员角色、查看全部成员和模型的用量 |
|
管理员 |
权限范围与所有者相同。管理员由所有者授予,可被移除或降级。 |
|
成员 |
使用管理员分配的 API Key 和 Base URL 调用模型 |
成员管理
添加成员
修改成员角色
在成员管理页面,找到目标成员,点击操作列的修改角色,在弹窗中选择新角色(管理员或成员)后保存。所有者角色不可修改。
重置 API Key
在成员管理页面,找到目标成员,点击操作列的重置。重置后原 API Key 立即失效,新 API Key 需重新发给成员。
移出成员
在成员管理页面,找到目标成员,点击操作列的移出组织。移出后席位自动回收、API Key 立即失效。
SAML 接入
通过标准 SAML 2.0 对接企业 IdP,对应登录页的SSO入口。配置后,成员用 IdP 账号登录管理平台即自动加入组织。
SAML 配置
前提条件:组织内有成员时无法编辑 SSO 配置,需先全部移出。
-
登录 Token Plan 控制台,在我的订阅页面的团队版卡片点击设置,找到SSO 配置区域。
-
从企业 IdP 获取 IdP 信息(IdP Entity ID、IdP SSO URL、IdP Certificate)。点击编辑,填入自定义的 SP Entity ID 和上述 IdP 信息,保存。
-
保存后系统自动生成 ACS URL。将 SP Entity ID 和 ACS URL 填入企业 IdP 的 SSO 应用配置中。
-
在基本信息区域复制管理平台地址,分享给团队成员。成员访问该地址,在登录页选择 SSO 登录方式即可加入组织。
参数说明
SP 信息(百炼侧)
|
参数 |
说明 |
|
SP Entity ID |
百炼在 SSO 流程中的唯一标识,自定义填写,需同步填入企业 IdP 的 SSO 应用配置。 |
|
ACS URL |
IdP 认证成功后回传响应的地址,保存 SSO 配置后由百炼自动生成,需填入企业 IdP。 |
|
SP Certificate |
百炼侧 SAML 签名证书,保存 SSO 配置后由系统自动生成,用于企业 IdP 验证百炼侧响应签名,需同步配置到企业 IdP 信任链。 |
IdP 信息(企业侧,需从企业 IdP 获取后填入)
|
参数 |
说明 |
|
IdP Entity ID |
企业身份提供商的唯一标识(Entity ID)。 |
|
IdP SSO URL |
企业 IdP 的登录入口地址,成员登录时跳转到此地址进行认证。 |
|
IdP Certificate |
企业 IdP 的签名证书,百炼用来验证响应确实来自该企业。 |
配置示例:阿里云 IDaaS
前提条件:已开通阿里云 IDaaS EIAM 实例。如未开通,登录IDaaS 控制台,在 EIAM 云身份服务实例列表页点击免费创建实例。
-
在 IDaaS 中创建 SAML 应用
登录 IDaaS 实例管理平台,进入应用管理,点击添加应用,选择标准 SAML 2.0应用模板,填写应用名称后创建。
-
从 IDaaS 获取 IdP 信息并填入百炼
在 IDaaS 应用的单点登录页面底部的应用配置信息区域,复制 IdP 信息。然后在 Token Plan 控制台我的订阅页面的团队版卡片点击设置,在 SSO 配置区域,点击编辑,填入自定义的 SP Entity ID 和以下对应的 IdP 信息后保存:
IDaaS 应用配置信息
填入百炼的字段
说明
IdP 唯一标识(IdP Entity ID)
IdP Entity ID
IDaaS 在应用中的唯一标识
IdP SSO 地址(IdP Sign-in URL)
IdP SSO URL
成员 SSO 登录时跳转到的认证地址
公钥证书(Certificate)
IdP Certificate
点击“复制证书内容”获取完整证书
-
将 SP Entity ID 和 ACS URL 填入 IDaaS
保存后,百炼 SSO 配置区域显示自动生成的 ACS URL。在 IDaaS 应用的登录访问 > 单点登录页面,填入以下对应参数:
百炼 SP 信息
填入 IDaaS 的字段
说明
SP Entity ID
应用唯一标识(SP Entity ID)
填入在百炼中自定义的 SP Entity ID
ACS URL
单点登录地址(ACS URL)
填入百炼自动生成的 ACS URL
-
在 IDaaS 中创建账户并授权
在 IDaaS 实例管理平台的账户管理中,为需要使用 Token Plan 的团队成员创建 IDaaS 账户。
然后在 SAML 应用的登录访问 > 应用授权页面,点击添加授权,选择需要通过 SSO 登录的账户、组或组织机构。后续添加用户重复此步骤即可,无需重新配置 SSO 参数。
-
分享管理平台地址给成员
在设置页面的基本信息区域复制管理平台地址,分享给已授权的成员。成员访问该地址,在登录页选择 SSO 登录方式即可加入组织。
钉钉接入
使用钉钉作为身份系统的企业可直接接入,对应登录页的钉钉入口。配置后,成员用钉钉账号登录管理平台即自动加入组织。
前提条件:已在钉钉中创建企业,并将待登录的成员加入企业。
-
创建钉钉企业内部应用
登录钉钉开发者后台,进入应用开发 > 企业内部应用 > 钉钉应用,点击创建应用。填写应用名称和描述后保存。
-
获取应用凭证
在应用详情页,进入基础信息 > 凭证与基础信息,记录 Client ID 和 Client Secret(即钉钉应用 AppKey 与 AppSecret),后续在 Token Plan 管理平台中使用。
-
配置回调域名
在应用详情页,进入开发配置 > 安全设置,在重定向 URL(回调域名)中填入
https://account-enterprise.bailian.aliyunportal.com/api/v1/auth/dingtalk/callback,保存。 -
开通通讯录读权限
进入应用的权限管理页面,开通通讯录个人信息读权限。该权限用于在登录时识别成员的钉钉账号。
-
发布应用
进入应用发布 > 版本管理与发布页面,创建新版本并发布。
-
在 Token Plan 管理平台填入凭证
在 Token Plan 控制台我的订阅页面的团队版卡片点击设置,在SSO 配置区域,切换到钉钉选项卡,填入配置名称、钉钉应用 AppKey和钉钉应用 AppSecret(步骤 2 中获取),保存。
-
把管理平台地址分享给成员
在设置页面的基本信息区域复制管理平台地址,分享给团队成员。成员访问该地址,在登录页选择钉钉登录方式即可加入组织。
席位操作
查看席位状态
在控制台我的订阅页面的团队座席区域查看各档位席位的已分配数量和总数;在订阅明细区域可查看每个席位的状态和到期时间。
分配席位
-
在成员管理页面,找到目标成员,点击操作列的分配席位。
-
在弹窗中选择席位版本,点击确定。
分配后系统自动生成 API Key,连同 Base URL 发给成员即可调用模型。
回收席位
在成员管理页面,找到目标成员,点击操作列的回收席位,在确认弹窗中点确定。回收后席位转为未分配,原成员将无法使用席位的 Credits;重新分配后系统会为新成员生成新的 API Key。
加购席位
在Token Plan 控制台的我的订阅页面,点击加购座席,选择席位档位和数量后提交订单。
新加席位与现有订阅统一到期,费用按剩余时长折算。例如订阅周期剩余 15 天,加购一个标准席位,则只需支付 15 天对应的费用。
升级席位
在Token Plan 控制台的我的订阅页面,在订阅明细中找到目标席位,点击升级,选择更高档位后提交订单。需要批量操作时,勾选多个席位后点击批量升级。
升级按剩余时长补缴差价。例如将标准席位升级为高级席位,只需补缴剩余时长内两个档位的差价。
用量分析
用量分析可从 Token Plan 控制台的我的订阅页面或管理平台进入。在用量分析页面,所有者可查看:
-
用量趋势:近 1、7、30 天的 Credits 消耗趋势图。
-
模型用量:组织内各模型的 Credits 消耗。
-
成员用量:各成员的 Credits 消耗。
常见问题
席位到期后 API Key 是否仍可使用
席位到期后,对应的 API Key 将无法调用模型。续订套餐并重新分配席位后即可恢复使用。
回收席位后能否分配给其他成员
可以。回收后席位转为未分配,重新分配给其他成员后系统会生成新的 API Key。
能否为同一成员更换席位
每个成员同一时间只能持有一个席位。如需更换,先回收当前席位,再分配新的席位即可。