使用基于SAML的IdP设置SSO

本指南将引导您配置用于Apollo SSO的基于SAML的通用身份提供者（IdP）。如果您使用Okta或Microsoft Entra ID作为IdP，请参阅您IdP的相应指南

• Okta
• Microsoft Entra ID（以前称为Azure Active Directory）

设置

基于SAML的SSO设置分为两个主要步骤

1. 在您的IdP中创建一个自定义Apollo GraphOS应用程序。
2. 将您应用程序的SAML元数据发送到Apollo。

这些步骤通常需要您的IdP的管理员访问权限。

步骤1. 创建自定义应用程序

1. 向您的Apollo联系人发送请求，以获取Apollo的服务提供商（SP）SAML信息。包括您设置的SSO组织名称。

   您的Apollo联系人将回复一个URL，您可以从该URL下载Apollo的组织SP SAML XML元数据文件。此文件包含以下值

   • 单一登录URL
   • 实体ID
   
   

   ⓘ 注意

   SSO元数据值因每个GraphOS组织而异。如果为多个组织设置SSO，请使用不同的值对每个组织重复以下步骤。

2. 在您的SSO环境中创建一个新应用程序。在创建时，设置以下值

   • 应用名称: Apollo GraphOS
   • 标志: Apollo标志（可选）

3. 如果您的IdP允许，请上传Apollo提供的SP SAML XML元数据文件。否则，打开XML元数据文件，查看SAML元数据值，并手动将它们输入到您的IdP中。

   • 将您的单一登录URL或ACS URL设置为单一登录URL。您还可以使用此值填写以下字段：

     • 接收者
     • ACS（消费者）URL验证器
     • ACS（消费者）URL

   • 将您的实体ID设置为实体ID值。

4. 设置以下用户属性

   • sub: user.email
     • 代码“sub“属性应该唯一地标识GraphOS中的任何特定用户。在大多数情况下，user.email提供这种唯一映射。
   • email: user.email
   • given_name: user.firstName
   • family_name: user.lastName

5. 保存您的配置。

步骤 2：将 SAML 元数据发送到 Apollo

将您的 Apollo 联系人发送 IdP SAML XML 元数据文件。如果无法发送此文件，可以发送以下任何一个代替

• IdP 实体 ID
• IdP 单点登录 URL / SSO URL
• IdP x509 证书

您的 Apollo 联系人将能够完成您的 SSO 配置。

一旦您的 SSO 配置上线，请在您的 IdP 中将用户分配给新的 Apollo GraphOS 应用。如有需要分配相关组或用户，请联系您的 SSO 或身份与访问管理团队。

旧版配置