使用微软身份验证 ID (前身为 Azure AD) 进行自助式 OIDC SSO

在向导中达到 步骤 2: 配置您的 IdP 后，转到您的 Microsoft Entraving 管理中心。或者，您可以从 Azure Portal 登录并转到 Azure Portal，然后转到 Microsoft Entraving ID。
在 Entraving 中，转到 身份 > 应用程序 > 应用程序注册。如果从 Azure Portal 访问 Entraving，转到 管理 > 应用程序注册。在顶部菜单中选择 新建注册。
在 注册应用程序 页面上，提供以下信息：
- 输入您的应用程序的描述性名称，例如Apollo GraphOS。
- 在 支持的账户类型下，选择哪些 Microsoft 账户类型应有权访问 GraphOS。
- 对于 重定向 URI，选择 Web并输入向导提供的重定向 URI。
点击注册。
从您新创建的应用程序注册的概述部分复制并粘贴您的应用程序（客户端）ID到设置向导中的客户端 ID字段。
在客户端凭据旁边，单击添加证书或密钥并创建新的密钥。
将密钥的值复制并粘贴到设置向导中的客户端密钥字段。
在概述部分中，从顶部菜单选择端点。
复制并打开新的浏览器标签中的OpenID Connect元数据文档URL。找到issuer值。它应该格式化为https://login.microsoftonline.com/unique-value/vx.x。将此URL复制并粘贴到设置向导中的发行者字段。
单击继续。

第3步。配置API权限

从您的应用程序注册的API权限部分中，检查User.Read是否默认列出。如果不是，请手动添加：
1. 选择+ 添加权限 > Microsoft Graph > 应用程序权限。
2. 搜索User，展开，并选择User.Read.All。单击添加权限。
3. 保存您的更改。
同样，从API权限部分，在+ 添加权限按钮旁边选择为默认目录授予管理员同意。这样做可确保您的用户在SSO期间不需要授予权限。
从您的应用程序注册的manifest部分，查找groupMembershipClaims属性。将其值从null更改为"All"或"SecurityGroup"。这些值确保了在SSO期间访问令牌包含组成员资格声明。
保存您的更改。

第4步。验证SSO配置

为了验证您的SSO配置是否正常工作，在GraphOS Studio向导中单击使用新的SSO登录。此按钮启动一个新浏览器标签中的新登录会话。一次登录成功后，使用新配置，单击下一步。

第5步。启用SSO

在设置向导中，单击完成按钮以完成设置。

一旦您点击完成，所有用户将退出您的组织，并需要使用单点登录(SSO)从 https://studio.apollographql.com/login 重新登录。为了赋予他们访问权，请确保您已经向他们分配了新应用程序注册在Entra ID.

一旦您确认新配置按预期工作，如果有的话，请删除任何徽章Apollo应用。Entra ID。

在Entra ID中分配用户

一旦您在Entra ID中设置了 Apollo GraphOS 应用程序，您需要将用户分配给它，以便他们可以访问GraphOS。您可以从Entra ID中 Apollo GraphOS 应用程序的 用户和组 页面上分配个别用户或组。

您可能想先单独添加自己，然后点击单点登录页面底部的测试以测试SSO。

一旦您成功测试了自己用户使用SSO的能力，添加任何适用的用户或组。每次您想授予GraphOS Studio对新用户或组的访问权限时，请重复这些步骤。

旧版设置

ⓘ 注意

以下说明仅供参考。从2024年4月开始，Apollo建议所有组织使用更新说明以创建新的SSO连接。

要使用多组织SSO，您的SSO连接不能使用下文中的PingOne，因为它与旧说明中所示不同。请遵循更新说明创建新的SSO连接。

ⓘ 注意

以下步骤使用PingOne的电子邮件邀请方法，因为在某些情况下，Apollo的旧版实体ID（Ping_connect）可能已被组织中的另一个应用程序使用。

1. 创建Azure AD应用程序注册

转到您的 Azure 门户并然后转到 Azure Active Directory。
在左侧面板中，选择 应用程序注册。然后在顶部工具栏中点击 新增注册。
在 注册应用程序 页面上，提供以下信息：
- 为PingOne客户端（例如 Apollo GraphOS 或 PingOneConnect）提供友好名称。
- 在 支持的帐户类型 下，选择将具有访问权限的Microsoft帐户类型。
- 保留 重定向URI 空的。您将在稍后提供此信息。
然后点击注册。

2. 查询您端的URL和客户端ID

从您新创建的应用程序注册的概览部分中，将您的 应用程序（客户端）ID复制并粘贴到本地文本文件中。
仍然在概览部分中，从顶部菜单选择端点。
将这些 OpenID Connect元数据文档 URL复制并粘贴到相同的本地文本文件中：

3. 创建客户端密钥

从您的应用程序注册的 证书与密钥部分，点击 新建客户端密钥并创建一个新的密钥。
将密钥的值复制并粘贴到您 earlier 创建的同一文本文件中：

4. 配置API权限

从您的应用程序注册的 API权限部分，检查 User.Read 是否默认列出。如果不是，则手动添加：
1. 选择+ 添加权限 > Microsoft Graph > 应用程序权限。
2. 搜索 Group，展开并选择 Group.Read.All。
3. 保存您的更改。
4. 如果 User.Read 没有自动创建，为 User.Read 重复此过程。
同样，从 API权限 部分，选择 + 添加权限 旁边的 授权管理员同意。这将确保您的用户在SSO期间无需授权同意。
从您应用程序注册的清单部分，找到 groupMembershipClaims 属性。将从 null 更改为 All 或 SecurityGroup。
- 这些值确保在SSO期间组会员资格声明包含在访问令牌中。
保存您的更改。

5. 将PingOne与Azure AD集成

收到PingOne SSO邀请电子邮件后，单击注册链接以创建新账户或使用现有账户登录。
在首页，点击顶部的横幅上的设置。
选择 连接到身份存储库 > Microsoft Azure AD 并点击 下一步。
在 配置您的Microsoft Azure连接 记者型：
1. 复制从Azure AD earlier 保存的端点URL、客户端ID和客户端密钥值。
2. 选择验证。PingOne将验证它是否可以查询您指定的端点。
3. 对于范围，选择要在身份验证请求中包含的OAuth范围。
4. 单击 下一步。
在向导的第2步中，复制 PingOne重定向URI 并将其粘贴到Azure AD应用程序注册中。
- 重定向URI可以从Azure AD应用程序注册的概览部分中配置，位于Azure AD的 基础设置 菜单下。
- 选择重定向URI > 添加平台 > 网络并输入从PingOne复制的重定向URI。选择配置以保存更改。
- 返回PingOne配置向导，复制粘贴URI后选择下一步。
在向导的第3步中，通过将来自Azure AD的传入属性或声明映射到PingOne来配置映射属性部分。您可以保留默认的属性映射。
在向导的第4步中，选择是否同步您的Azure AD用户组到PingOne用户组。
- 为了成功同步，需要User.Read和Group.Read.All权限。
- 在您的Azure提供商中不存在的任何PingOne用户组将被Azure组替换。
- 当用户最初通过(SSO)身份验证登录到PingOne时，每个Azure组成员都将自动添加到相应的PingOne组中。这是PingOne的即时用户配置。
点击保存以完成Azure AD到PingOne的连接。

6. 配置OIDC应用程序

在成功配置Azure AD和PingOne之间的身份桥后，您需要配置并启用Apollo作为OIDC应用程序。此应用程序的配置应该已经初始化，您可以通过PingOne管理员控制台下的完成应用程序配置提醒访问它。

在完成应用程序配置下选择流星开发小组 - GraphOS Studio
ⓘ 注意
如果添加OIDC应用程序向导没有自动弹出，请选择SAML选项卡，然后选择OIDC选项卡。
在添加OIDC应用程序向导的第1步中，配置应用程序名称、说明、类别和图标（可选）。
点击下一步进行第2-5步（这些已默认配置）。
在向导的第6步（属性映射）中，你必须将email映射到email并将sub映射到preferred_username。您还可以选择映射给定的姓名、姓氏等更多属性。
在向导的第7步（组访问）中，选择应接受对Apollo的SSO访问的组。
点击完成以完成配置。

7. 通知Apollo

完成上述步骤后，请联系您的Apollo联系人。他们将完成您的SSO设置。

Okta

通用OIDC配置