本指南介绍了如何配置一个通用的基于OpenID Connect (OIDC) 的身份提供者 (IdP) 以与Apollo SSO一起使用。如果您使用Microsoft Entra ID作为您的IdP，请参阅Entra OIDC指南。

配置

SSO配置有两个主要步骤

1. 创建自定义的Apollo GraphOS应用在你的IdP中。
2. 将你的应用程序的OIDC元数据发送到Apollo。

这些步骤通常需要对你的IdP的行政管理访问权限。

步骤1. 创建自定义应用

1. 向你的Apollo联系人发送请求以配置OIDC SSO集成。请包含你设置SSO的组织名称和你要与组织关联的电子邮件域名。你的Apollo联系人会回复你

   • 重定向URI
   • 一个可以提交你的SSO信息的表单链接，你将在最后一步设置中使用此表单。

   ⓘ 注意

   不同的GraphOS组织会有不同的重定向URI。如果你要为多个组织设置SSO，则为每个组织使用不同的值重复以下步骤。

2. 在你的SSO环境中创建一个新应用。在此过程中，设置以下值

   • App Name: Apollo GraphOS
   • Logo: Apollo logo（可选）

3. 从你的SSO提供商获取以下值并将它们保存到本地文本文件中

• Client ID: 应该是特定的 应用程序ID
• Client Secret: 你可能需要在你的IdP中首先创建的秘密值
• Issuer: 来自你的IdP中的OpenID Connect元数据文档的发布者值

4. 如果你的IdP允许，设置以下用户属性

   • sub: user.email
     • The sub属性应唯一标识任何特定用户为 GraphOS。在大多数情况下，user.email提供这种唯一映射。
   • email: user.email
   • given_name: user.firstName
   • family_name: user.lastName

步骤2. 向Apollo发送OIDC元数据

要完成配置，请完成步骤1中提供的Apollo链接，并通知你的Apollo联系人。他们然后将完成你的SSO配置。

一旦您的SSO配置上线，将用户分配到您的新的Apollo GraphOS应用程序中您的身份提供者（IdP）。有关分配相关组和用户的支持，请联系您的SSO或身份与访问管理团队。