基于OIDC的自助服务SSO
配置基于OIDC的标识提供者
自助服务单一登录(SSO)仅适用于使用以下组织:专用和企业计划,并且之前已使用PingOne设置了SSO并需要迁移的。如果您不确定是否需要迁移,请参阅迁移指南。如果您是首次设置SSO,请参阅这些说明。
本指南将逐步引导您配置用于Apollo SSO的通用OpenID Connect (OIDC) 基础标识提供者(IdP)。如果您使用Okta或Microsoft Entra ID作为您的IdP,请参阅相应的指南
- Okta
- Microsoft Entra ID(也称为Azure Active Directory)
迁移注意事项
⚠️ 小心
如果您组织中的SSO设置在2024年4月之前,您必须在2024年11月15日之前使用更新说明创建新的SSO配置。2024年11月15日之后,遗产配置将不再可用,如果没有创建新的配置,您的组织将失去GraphOS的访问权。
要从旧配置迁移,GraphOS管理员必须创建新的SSO配置。您在旧配置继续为组织提供SSO的同时创建新的配置。
GraphOS设置向导会逐步引导您完成配置过程。它不会在确认您可以使用它进行登录之前允许您激活新的配置。
一旦新的配置经过验证并处于活动状态,您应该从IdP中删除任何旧配置。
先决条件
设置需要
- 对您的IdP的行政访问
- 一个拥有 组织管理员 角色呢
设置
OpenID Connect (OIDC)基于 SSO 的设置包括以下步骤:
- 在 GraphOS Studio 中输入您的 SSO 细节。
- 在您的 IdP 中创建一个自定义的应用GraphOS中.
- 验证并配置 OIDC 细节。
- 验证您的 SSO 配置是否正常工作。
- 在 GraphOS Studio 中启用 SSO。
GraphOS Studio 中的 SSO 设置向导将引导您完成以下步骤。
第 1 步。输入您的 SSO 细节
- 转到 GraphOS Studio。从顶部导航打开 设置 页面。从左侧侧边栏打开 安全 选项卡,然后点击 迁移 SSO。将出现一个设置向导。
- 输入您要设置 SSO 的 电子邮件域名。点击 继续。
- 选择 OIDC 作为 SSO 类型。点击 继续.
第 2 步。创建一个自定义应用
当您进入向导中的 第 2 步:配置您的 IdP,在新标签页中打开您的 IdP 管理仪表板。
在您的 SSO 环境中创建一个新的应用。在此过程中,设置以下值
- 应用名称:
Apollo GraphOS - Logo: Apollo logo(可选)
- 应用名称:
从您的 SSO 提供商获取以下值并在设置向导中输入。
- 客户端 ID:这是一个特定的 应用程序 ID
- 客户端密钥:您可能需要首先在 IdP 中创建的密钥值
- 发行者:来自您的 IdP 的 OpenID Connect 元数据文件中的发行者值
第 3 步。配置 OIDC 以使其与 Apollo 合作
- 验证您的应用程序中的 登录重定向 URL是否与 GraphOS 向导中显示的 URL 匹配。
- 如果您的 IdP 允许,设置以下用户属性
sub:user.email- 属性
sub应该唯一地标识 GraphOS 中的任何特定用户。在大多数情况下,user.email或user.mail提供了这个唯一映射。
- 属性
email:您的 IdP 的电子邮件属性,通常是像user.emailgiven_name:您的 IdP 的名属性,通常是像user.firstNamefamily_name:您的 IdP 的姓属性,通常是像user.lastName
- 在您的 IdP 中保存此配置并在 GraphOS 向导中点击 下一步。
第 4 步。验证 SSO 配置
为了验证您的 SSO 配置是否正常工作,请点击 使用新 SSO 登录 在 GraphOS Studio 向导中。此按钮 启动 在新浏览器标签中启动新的登录会话。一旦您成功使用新的配置登录,请点击 下一步。
第 5 步:启用 SSO
在设置向导中,单击 完成 按钮以最终完成设置。
点击 完成 后,所有用户都将从您的组织注销,需要从 https://studio.apollographql.com/login 使用 SSO 重新登录。为了给予他们访问权限,请确保您已 分配给他们 您的新的应用在您的 IdP.
一旦您确认新的配置按预期工作,如果您有任何旧的 Apollo 应用程序,请从您的 IdP删除它们。
在您的 IdP 中分配用户
一旦您的 SSO 设置上线,请确保在您的 IdP 中将用户分配给您的新的 Apollo GraphOS 应用程序。如有必要,请咨询您的 IdP 文档。有关分配相关组和用户方面的帮助,请联系您的 SSO 或身份与访问管理团队。