基于SAML的IdP的自助式SSO

本指南逐步引导您配置用于Apollo SSO的通用基于SAML的身份提供者（IdP）。如果您使用Okta或Microsoft Entra ID作为您的IdP，请参阅相应的指南

• Okta
• Microsoft Entra ID（以前称为Azure Active Directory）

迁移注意事项

要从旧配置迁移，必须由GraphOS的组织管理员创建新的SSO配置。您可以在保留旧配置同时提供SSO服务的情况下创建新的配置。

GraphOS配置向导会逐步引导您完成配置过程。它在确认您可以使用新配置登录之前不会激活您的新的配置。

一旦新的配置被验证并活跃，您应该从您的IdP中移除任何旧配置。

先决条件

设置需要

• 对您的IdP的行政访问权限
• 一个指定于 AGraphOS用户账户具有组织管理员角色

设置

SAML基于的身份验证 (SSO) 设置包括以下步骤：

1. 在 GraphOS Studio 中输入您的 SSO 详细信息。
2. 在您的身份提供方 (IdP) 中创建一个自定义应用程序应用于 GraphOS。在 GraphOS Studio 中共享.
3. 您的应用程序'的SAML元数据。
4. 验证并配置 OIDC 详细信息。
5. 验证您的 SSO 配置是否正常工作。
6. 在 GraphOS Studio 中启用 SSO。

GraphOS Studio 中的 SSO 设置向导将指导您完成以下步骤。

步骤 1. 输入您的 SSO 详细信息

1. 访问 GraphOS Studio。从顶部导航中打开 设置 页。从左侧侧边栏打开 安全 选项卡并点击 迁移 SSO。视窗将出现。
2. 输入您要设置 SSO 的 电子邮件域名。点击 继续。
3. 选择 SAML 作为 SSO 类型。点击 继续.

步骤 2. 创建自定义应用程序

1. 在向导中完成步骤 2：配置您的 IdP后，在不同的浏览器选项卡中打开您的 IdP 管理仪表板。

2. 创建一个新的应用程序。在此过程中，设置以下值

   • 应用名称：Apollo GraphOS
   • Logo：Apollo logo（可选）

3. 如果您的 IdP 允许这样做，则上传由 GraphOS 设置向导提供的 SAML XML 元数据文件。否则，在您的 IdP 中手动输入以下元数据值：

   • 将您的单一登录 URL或断言消费者 URL设置为向导提供的单一登录 URL。您还可以使用此值用于以下字段：

     • 接收者
     • ACS (消费者) URL 验证器
     • ACS (消费者) URL

   • 将您的实体 ID设置为向导提供的实体 ID 值。

4. 设置以下用户属性：

   • sub： user.email
     • 属性 sub 应该能够唯一标识 GraphOS 的任何特定用户。在大多数情况下，user.email或user.mail提供了这种唯一映射。
   • email：您的 IdP 的电子邮件属性，通常类似于user.email
   • given_name：您的 IdP 的第一个名称属性，通常类似于user.firstName
   • family_name：您的 IdP 的最后一个名称属性，通常类似于user.lastName

5. 在您的 IdP 中保存配置。

6. 在 GraphOS 设置向导中，选择您的 IdP 是否需要签署 AuthnRequest。

7. 点击 下一步。

步骤 3. 与 Apollo 共享 SAML 元数据

在 GraphOS 设置向导中，输入您应用程序的元数据 URL 或元数据文件。如果您需要帮助找到它，请参阅您身份提供者的文档。点击 下一步.

第 4 步：验证详细信息

在 GraphOS Studio 设置向导会根据您在上一步中输入的 URL 填充您的 SSO 元数据。请确认值是否正确。如果您需要帮助找到它们，请参阅您身份提供者的文档。

一旦您已验证值或已更正它们，请点击 下一步.

第 5 步：验证 SSO 配置

为了验证 SSO 配置是否正常工作，请点击 使用新 SSO 登录 在 GraphOS Studio 向导中。此按钮 启动 了一个新的登录会话，在新的浏览器选项卡中。一旦您使用新的配置成功登录，请点击 下一步.

第 6 步：启用 SSO

在您的身份提供者中分配用户

一旦您的 SSO 设置生效，请将用户分配到您身份提供者中的新 Apollo GraphOS 应用程序。如有必要，请参阅您身份提供者的文档。有关分配相关组和用户的帮助，请联系您的 SSO 或身份与访问管理团队。

遗留设置