使用 Microsoft Entra ID（之前称为 Azure AD）设置基于 OIDC 的 SSO

将 Entra ID 配置为 GraphOS 组织的标识提供者

单点登录（SSO）仅适用于专用和企业计划。此功能不作为企业试用版的组成部分。

本指南介绍了如何将 Microsoft Entra ID（之前称为 Azure Active Directory）配置为您的GraphOS组织的基于 OIDC 的 SSO 标识提供者（IdP）。

设置

在 Entra ID 中设置基于 OIDC 的 SSO 的步骤如下

在 Entra ID 中创建一个 Apollo GraphOS 的应用注册。
获取您的 Entra 客户端 ID、客户端密钥和发行者。
在 Entra ID 中配置 API 权限。
将 Entra ID 的应用注册的 OIDC 元数据发送到 Apollo。

设置至少需要云应用程序管理员角色。

步骤 1. 创建 Entra ID 应用注册

向您的 Apollo 联系人发送请求，以配置 OIDC SSO 集成。包括您设置 SSO 的组织名称以及您想与组织关联的电子邮件域名。您的 Apollo 联系人将回复：
- 重定向 URI
- 一个您可以在其中提交 SSO 信息到 Apollo 的表单链接。您将在最后一个设置步骤中使用此表单。
ⓘ 注意
重定向 URI 因每个GraphOS组织而异。如果您为多个组织设置 SSO，请对这些组织使用不同的值重复以下步骤。
访问您的 Microsoft Entra 管理中心。或者，您也可以登录到 Azure 门户，然后前往 Microsoft Entra ID。
在 Entra 中，请访问 标识 > 应用 > 应用注册。如果从 Azure 门户访问 Entra，请访问 管理 > 应用注册。在顶部菜单中选择 新建注册。
在 注册应用 页上，提供以下信息：
- 为您的应用程序输入一个描述性的名称，例如Apollo GraphOS。
- 在 支持的账户类型 下，选择哪些 Microsoft 账户类型应有权访问 GraphOS。
- 对于 重定向 URI，选择 Web 并输入您的 Apollo 联系人提供的重定向 URI。
点击注册。

步骤 2. 检索应用注册数据

从您新创建的应用注册的概览部分，将您的 应用程序（客户端）ID 复制并粘贴到本地文本文件中。
在 客户端凭据 旁边，点击 添加证书或密钥 并创建一个新的密钥。
将密钥的值复制并粘贴到您之前创建的文本文件中。
返回到概览部分，从顶部菜单选择端点。
复制并在新浏览器标签中打开 OpenID Connect 元数据文档 URL。找到 issuer 值。它应格式化为 https://login.microsoftonline.com/unique-value/vx.x。将其 URL 复制并粘贴到您的文本文件中。

步骤 3. 配置 API 权限

从您应用注册的 API 权限 部分，检查是否默认列出 User.Read。如果没有列出，请手动添加：
1. 选择 + 添加权限 > Microsoft Graph > 应用程序权限。
2. 搜索 User，展开并选择 User.Read.All。单击 添加权限。
3. 保存您的更改。
同样，从 API 权限 部分，在 + 添加权限 按钮旁边选择 为默认目录授予管理员同意。这样做可确保您的用户在 SSO 过程中无需授予同意。
从应用程序注册表中找到清单部分。groupMembershipClaims属性。将其值从null更改为"All"或"SecurityGroup"。这些值确保在SSO期间访问令牌包含组属性。
保存您的更改。

步骤 4：将OIDC元数据发送到Apollo

完成配置，使用步骤 1 中提供的Apollo链接填写适当信息

客户端ID：您复制的应用程序（客户端）ID。
客户端密钥
：您复制的密钥值。
- Apollo会加密此值并安全存储。
发行者：您从OpenID Connect元数据文档中复制的发行者值
发现URL：您不需要输入此内容，因为OpenID Connect元数据文档URL遵循标准的/.well-known/openid-configuration格式。

提交后，通知您的Apollo联系人。他们将能够完成您的SSO设置。

在您的SSO设置完成之后，您需要在Entra中将用户分配到GraphOS应用程序。

在Entra中分配用户

您已在Entra ID中设置了Apollo GraphOS应用程序后，您需要将用户分配给它，以便他们可以访问GraphOS。用户和组页面上进行操作。

您可能想先单独为自己添加，然后在单点登录页面底部点击测试来测试SSO。

一旦您成功测试了您自己的用户使用SSO的能力，请添加任何适用用户或组。当您想授予GraphOS Studio对新的用户或组的访问权限时，重复这些步骤。

旧版配置

ⓘ 注意

以下说明仅供参考。自2024年4月起，Apollo建议所有组织使用更新说明以创建新的SSO连接。

要使用多组织SSO，您的SSO连接不能使用下文中的PingOne，因为旧版说明中显示。

ⓘ 注意

以下步骤使用PingOne的电子邮件邀请方法，因为在某些情况下，Apollo的旧版实体ID（PingConnect）可能已被组织中的另一个应用程序使用。

1. 创建Azure AD应用程序注册

转到您的Azure门户，然后转到Azure Active Directory。
在左侧窗格中，选择应用注册。然后在顶端栏中点击+ 新注册。
在 注册应用 页上，提供以下信息：
- 为PingOne客户端提供友好的名称（例如Apollo GraphOS或PingOneConnect）。
- 在支持的帐户类型下，选择哪些Microsoft帐户类型将有权访问。
- 留空重定向URI。您稍后将提供此信息。
然后点击注册。

2. 获取您的终结点URL和客户端ID

从您新创建的应用注册的概览部分，将您的 应用程序（客户端）ID 复制并粘贴到本地文本文件中。
仍然在概览部分，从顶端菜单中选择终结点。
将OpenID Connect元数据文档的URL复制并粘贴到同一个本地文本文件中：

3. 创建客户端密钥

从应用的证书与密钥部分，点击+ 新建客户端密钥并创建一个新的密钥。
将密钥的值复制并粘贴到您之前创建的相同的文本文件中：

4. 配置API权限

从应用注册的API权限部分，检查User.Read是否默认列出。如果不是，请手动添加：
1. 选择 + 添加权限 > Microsoft Graph > 应用程序权限。
2. 搜索Group，展开并选择Group.Read.All。
3. 保存您的更改。
4. 如果User.Read没有自动创建，请对User.Read重复此过程。
同样，从API权限部分，选择添加权限按钮旁边的授予管理员同意。这确保了您的用户在单点登录期间无需授予同意。
从应用注册的清单部分，找到groupMembershipClaims属性。将它的值从null更改为All或SecurityGroup。
- 这些值确保在单点登录期间，群组成员资格声明包含在访问令牌中。
保存您的更改。

5. 将PingOne集成到Azure AD

收到您的PingOne单点登录邀请电子邮件后，点击注册链接以创建新帐户或使用现有帐户登录。
在登录页面，点击顶端栏的设置。
选择连接到身份存储库 > Microsoft Azure AD并点击下一步。
在配置您的Microsoft Azure连接对话框中：
1. 复制并粘贴从Azure AD保存的终结点URL、客户端ID和客户端密钥的值。
2. 选择验证。PingOne将验证它是否可以查询您指定的终结点。
3. 对于作用域，选择要包括在身份验证请求中的OAuth作用域。
4. 点击下一步。
在向导的第2步中，复制PingOne重定向URI并将其粘贴到Azure AD应用程序注册中。
- 重定向URI可以在Azure AD应用程序注册的概述部分进行配置，在Azure AD中的基本菜单下。
- 选择重定向URI > 添加平台 > Web并输入从PingOne复制的重定向URI。选择配置以保存更改。
- 在复制和粘贴URI后，回到PingOne配置向导，选择下一步。
在向导的第3步中，通过将Azure AD中传入的属性或声明映射到PingOne来配置映射属性部分。您可以保留默认的属性映射。
在向导的第4步中，选择是否同步Azure AD中的用户组到您的PingOne用户组。
- 为了使同步成功，需要权限User.Read和Group.Read.All。
- 在您的Azure提供程序中不存在的任何PingOne用户组将被Azure组替换。
- 当用户首次通过(SSO)登录到PingOne时，每个Azure组成员将自动添加到相应的PingOne组。这是PingOne的即时用户预配。
单击保存以完成Azure AD到PingOne的连接。

6. 配置OIDC应用程序

在成功配置Azure AD和PingOne之间的身份网桥后，您需要配置和启用Apollo作为OIDC应用程序。此应用程序的配置应已初始化，您可以通过PingOne管理员控制台中的完成您的应用程序配置下的应用程序访问它。

在完成您的应用程序配置下选择Meteor Development Group - GraphOS Studio。
ⓘ 注意
如果添加OIDC应用程序向导未自动弹出，请选择SAML选项卡，然后选择OIDC选项卡。
在添加OIDC应用程序向导的第1步中，配置应用程序名称、描述、类别和图标（可选）。
单击下一步跳过步骤2-5（这些步骤默认配置）。
在向导的第6步（属性映射）中，必须将email映射到email和将sub映射到preferred_username。您可以可选地映射给定名称、姓和其他更多的属性。
在向导的第7步（组成员）中，选择应该接收Apollo单点登录访问权限的组。
单击完成完成配置。

7. 告知Apollo

完成上述步骤后，请联系您的Apollo联系人。他们将完成您的SSO配置。

通用SAML设置

通用OIDC设置