使用Okta设置SAML SSO

将Okta配置为GraphOS组织的身份提供者

单点登录 (SSO) 仅可针对专用和企业计划. 此功能作为企业试用不可用。

本指南说明了如何配置GraphOS组织的SAML基于的SSO身份提供者（IdP）。一旦您设置了集成，您需要在Okta中为它分配用户，以便他们可以通过SSO访问GraphOS Studio。

配置

SAML基于的SSO配置有两个主要步骤

为Apollo GraphOS创建一个自定义Okta应用集成。
将您的Okta应用集成的SAML元数据发送到Apollo。

配置需要一个具有管理员权限的Okta账户。

步骤1. 创建自定义应用集成

ⓘ 注意：

要使用Apollo SSO的最新版本，确保您在Okta中创建自定义应用集成，而不是使用Okta应用程序网络中的GraphOS应用程序。

向您的Apollo联系人请求Apollo服务提供商（SP）SAML信息。包括您要为SSO设置的组织的名称。
您的Apollo联系人将回复一个URL，您可以从该URL下载您的组织SAML XML元数据文件。此文件包含以下值
- 单点登录URL
- 实体ID
ⓘ 注意：
各个GraphOS组织的SSO元数据值是不同的。如果为多个组织设置SSO，请使用不同值重复以下步骤。

从您的Okta管理员仪表板，前往应用视图。点击创建应用集成。
在出现的对话框中，选择SAML 2.0作为您的登录方法。点击下一步。
出现创建SAML集成对话框。在常规设置步骤中，提供以下值：
- 应用程序集成名称：Apollo GraphOS
- 标志：Apollo标志 (可选)
然后点击下一步。
在配置SAML步骤中，提供以下值：
- 单一登录URL：Apollo提供的单一登录URL
  - 同时检查用于接收器URL和目标URL。
- 受众URI（SP实体ID）：Apollo提供的实体ID
- 保留其他设置的默认值，包括保留RelayState为空。
仍在配置SAML步骤中，向下滚动到属性声明。为以下属性设置值：
- sub：user.email
  - sub属性应该唯一地识别GraphOS中的任何特定用户。在大多数情况下，user.email提供了这种唯一的映射。
- email：user.email
- given_name：user.firstName
- family_name：user.lastName
然后点击下一步。
在反馈步骤中，选择我是Okta客户，添加内部应用程序。点击完成。

步骤2. 向Apollo发送SAML元数据

在您的Okta SAML集成中，转到登录 > 设置 > SAML 2.0 > 元数据详情部分。
将元数据URL文本框中的内容复制并粘贴到文本文件中。
将元数据URL发送给您的Apollo联系人。他们将完成您的SSO设置。

一旦您的SSO设置完成，您需要在Okta中分配用户到自定义应用程序。

在Okta中分配用户

您的SSO设置完成后，您需要将用户分配给它，以便他们可以访问 GraphOS。您可以通过以下步骤分配单个用户或组：

从您的Okta管理员仪表板，打开左侧菜单中的应用程序视图，打开Apollo GraphOS集成。然后，点击分配标签页。
点击分配下拉菜单，然后选择分配给人员或分配给组。
点击您想要访问GraphOS Studio组织的人员或组右侧的分配。

每当你想要授予新的用户或组GraphOS Studio访问权限时，请重复这些步骤。Okta在分配标签页中显示您分配给集成的每个用户和组。

一旦您确认新配置按预期工作，如果有的话，请从Okta中删除任何遗留的Apollo集成。

遗留设置

ⓘ 注意：

以下说明仅为参考。自2024年4月起，Apollo建议所有组织使用更新的说明创建新的SSO连接。

要使用多组织SSO，您的SSO连接不能使用下述遗留说明中的PingOne。按照更新说明创建新的SSO连接。

使用PingOne——Apollo的前SSO系统——您可以使用Okta的GraphOS集成（现已弃用）或创建自定义的SAML集成。

使用Okta的Apollo GraphOS集成（弃用）

支持的特性

以下链接Okta Apollo GraphOS SAML集成支持以下特性：

即时（JIT）配置
服务提供商发起（SP发起）SSO

SP发起流程发生在最终用户直接从该应用程序的登录页面登录到应用程序时。例如，https://studio.apollographql.com/login是GraphOS Studio的登录位置。集成支持用户使用SSO从这个页面登录。

您可以使用Okta的书签应用集成模拟身份提供者发起（IdP发起）流程，允许用户从Okta登录。

配置

从您的Okta管理员仪表板，打开左侧菜单中的应用程序视图。点击浏览应用目录。
搜索“Apollo GraphOS。”当“Apollo GraphOS Enterprise”出现时，点击+ 添加集成。
在打开的 常规设置 选项卡中，选择 不向用户显示应用程序图标。（您将设置一个书签应用。）您可以更改 应用程序标签 或保持默认标签 “Apollo GraphOS Enterprise 企业”。点击完成。
打开分配选项卡——您稍后将返回此处为集成为用户分配用户。目前，请打开登录选项卡，并复制 元数据 URL 下的 元数据详情。

GraphOS Studio Okta integration sign on settings

将以下信息发送给您的 Apollo 联系人

上一步复制的元数据 URL。
您的 GraphOS Studio 登录所使用的电子邮件地址。
- 与此电子邮件地址相关联的成员需要一个组织管理员角色。您可以不创建该角色开始 SSO 设置，但如果需要，Apollo 会更新角色以完成设置。

您的 Apollo 联系人会通知您一旦 SSO 设置完成。

使用自定义集成（旧版）

从 2024 年 4 月开始，Apollo 推荐使用上面提供的创建自定义集成的更新说明。如果您需要针对之前创建的自定义集成，可以参考下面的说明。

步骤 1. 创建应用程序集成

从您的 Okta 管理员仪表板，导航到 应用程序 视图。
点击 创建应用程序集成。出现以下对话框：
选择 SAML 2.0 作为您的登录方式。
点击 下一步。出现 创建 SAML 集成 对话框。

步骤 2. 创建新的 SAML 集成

创建 SAML 集成的对话框包括多个步骤：

在 常规设置 步骤中，提供以下值：
- 应用名称: Apollo GraphOS
- 应用徽标: Apollo 徽标（可选）
然后点击下一步。
在配置SAML步骤中，提供以下值：
- 单一登录 URL: https://sso.connect.pingidentity.com/sso/sp/ACS.saml2
  - 同时检查用于接收器URL和目标URL。
- 受众 URI（SP 实体 ID）: PingConnect
  ⓘ 注意：
  如果 PingConnect 已存在，请使用 fd76e619-6c0a-461c-912d-418278929d60
- 默认 RelayState: https://pingone.com/1.0/fd76e619-6c0a-461c-912d-418278929d60
仍在配置SAML步骤中，向下滚动到属性声明。为以下属性设置值：
- sub：user.email
  - sub属性应该唯一地识别GraphOS中的任何特定用户。在大多数情况下，user.email提供了这种唯一的映射。
- email：user.email
- given_name：user.firstName
- family_name：user.lastName
然后点击下一步。
在反馈步骤中，提供以下值：
- 选择 我是一个添加内部应用的 Okta 客户。
然后点击完成。

步骤 3. 将 SAML 元数据发送给 Apollo

从您的新的 SAML 集成的详细信息页，向下滚动并在右侧点击 查看 SAML 设置说明：
在出现的对话框中，将 IDP元数据 文本框中的内容复制粘贴到文本文件中：
将文本文件发送给您的Apollo联系人。他们将完成您的SSO设置。

将Apollo GraphOS添加为书签应用程序

由于遗留的Okta集成只支持 SP触发的流程，我们强烈建议在Okta目录中隐藏该应用程序，并而是将 Apollo GraphOS 作为 书签应用程序 添加。书签应用程序允许用户从Okta目录正确启动该应用程序。

要这样做，请按照 Okta的说明，以下为书签应用程序的配置：

应用程序标签：Apollo GraphOS 企业版
URL：https://studio.apollographql.com/login