使用Microsoft Entra ID（以前称为Azure AD）的自助服务SAML SSO

在向导中达到 步骤2：配置您的IdP后，转到您的 Microsoft Entra管理中心。或者，您也可以登录到 Azure门户，然后转到 Microsoft Entra ID。
转到 标识 > 应用 > 企业应用并从顶部菜单选择 +新建应用。
在顶部菜单中，选择 +创建自己的应用。
输入Apollo GraphOS作为您应用的名称。以下是，保留 集成任何您在画廊中找不到的应用（非画廊）选项选择。点击创建。
在应用的概览页面，选择 2. 设置单点登录。您稍后将为用户和组分配。
在应用的 单点登录页面，选择 SAML作为单点登录方式。
在基于SAML的登录页面顶部，点击 上传元数据文件 并上传GraphOS设置向导提供的文件。或者，您可以在 基本SAML配置 部分手动输入以下值：
- 标识符（实体ID）：由设置向导提供的实体ID值
- 回复URL（断言消费者服务URL）：设置向导提供的单点登录URL
点击保存。
在 属性与声明 中，请确保以下声明名称有对应的源属性：
- email: user.mail
- given_name: user.givenname
- family_name: user.surname
- sub: user.userprinicipalname
否则，请手动输入它们。
声明不需要命名空间。
在 SAML证书 下，将 App Federation元数据URL 复制到文本文件以用于下一步骤。

Application creation in Microsoft Entra ID

在GraphOS Studio的设置向导中，选择您的Entra实施是否需要签署AuthnRequest。
点击 下一步。

在设置向导中，将您之前复制到 从URL上传元数据 字段中的 App Federation元数据URL 输入。点击 下一步。

步骤4. 核实详细信息

GraphOS Studio设置向导根据您在上一步中输入的URL自动填充您的SSO元数据。请核实值的正确性。

您可以在Entra ID中找到它们，在 身份 > 应用 > 企业应用 中，在您为GraphOS创建的应用中。

您的应用程序的 实体ID 在 单点登录 选项卡中。向下滚动到 基本SAML配置 部分并查找标签 标识符（实体ID）的字段。该字段包含实体ID。其格式如下：urn:<unique>.<region>.auth0.com。
SSO URL也位于 基本SAML配置 部分的 登录URL 字段。

验证或更正值后，点击 下一步。

步骤5. 验证SSO配置

要验证您的SSO配置是否正常工作，请在GraphOS Studio向导中点击 使用新SSO登录。此按钮将在新的浏览器标签中启动一个新的登录会话。使用您的新配置成功登录后，点击 下一步。

步骤6. 启用SSO

在设置向导中，点击完成按钮，以完成设置。

一旦您点击完成，所有用户将退出您的组织，并且需要在 https://studio.apollographql.com/login 使用单点登录(Single sign-on)重新登录。为了给他们提供访问权限，请确保您已经将他们分配到您的新企业应用程序在Entra ID.

确认新配置按预期工作后，删除您有姿的任何遗留Apollo应用程序。Entra ID

在Entra ID中分配用户

一旦您在Entra ID中设置了Apollo GraphOS应用程序，您需要为它分配用户，以便他们可以访问GraphOS。您可以从 Apollo GraphOS 应用程序的 用户和组 页面中分配单个用户或组。

您可以从单独添加自己开始，然后通过点击测试按钮来测试单点登录页面底部的单点登录。

一旦您成功测试了自己的用户使用单点登录的能力，添加任何适用用户或组。每当您想授予GraphOS Studio对某个新用户或组的访问权限时，请重复这些步骤。

遗留设置

ⓘ 注

以下说明仅供参考。从2024年4月起，Apollo建议所有组织使用更新说明来创建新的单点登录连接。

要使用多组织单点登录，您的单点登录连接不能使用以下遗留说明中所示的PingOne。请按照更新说明创建新的单点登录连接。

ⓘ 注
以下步骤使用PingOne的电子邮件邀请方法，因为在某些情况下，Apollo的遗留实体ID（PingConnect）可能已被组织中的另一个应用程序使用。
1. 创建Azure AD应用程序注册
转到您的 Azure门户，然后导航到 Azure Active Directory。
在左侧面板中，选择 应用程序注册。然后在上面的工具栏中点击 创建注册。
在 注册应用程序 页面上，提供以下信息：
为PingOne客户端提供友好的名称（例如 Apollo GraphOS 或 PingOneConnect）。
在 支持的帐户类型 下，选择哪些Microsoft帐户类型将具有访问权限。
请留空重定向URI。您将在稍后提供此信息。
然后点击注册。
2. 获取您的端点URL和客户端ID
从您新创建的应用程序注册的概览部分，将您的应用程序（客户端）ID复制并粘贴到本地文本文件中。
仍位于概览部分，从顶部菜单选择端点。
将OpenID Connect元数据文档 URL复制并粘贴到相同的本地文本文件中：
3. 创建客户端密钥
从应用程序注册的证书和密钥部分，点击+ 新建客户端密钥并创建一个新的密钥。
将密钥的值字段复制并粘贴到您之前创建的同一文本文件中：
4. 配置API权限
从应用程序注册的API权限部分，检查User.Read是否默认列出。如果没有，手动添加它：
选择+ 添加权限 > Microsoft Graph > 应用权限。
搜索Group，展开并选择Group.Read.All。
保存您的更改。
如果User.Read没有被自动创建，为User.Read重复此过程。
还从API权限部分，选择添加权限按钮旁边的授予管理员同意。这样做可确保您的用户在进行单点登录时无需授予同意。
从应用程序注册的清单部分，找到groupMembershipClaims属性。将其值从null更改为All或SecurityGroup。
这确保了在进行单点登录时，群组成员资格声明包含在访问令牌中。
保存您的更改。
5. 将PingOne与Azure AD集成
在收到PingOne SSO邀请电子邮件后，请点击注册链接以创建新帐户或使用现有帐户登录。
在登录页面，点击顶部工具栏上的设置。
选择连接到身份库 > Microsoft Azure AD并点击下一步。
在配置您的Microsoft Azure连接模态中：
复制并粘贴从Azure AD保存的先前的端点URL、客户端ID和客户端密钥值。
选择验证。PingOne将验证它能否查询您指定的端点。
对于作用域，选择要在身份验证请求中包含的OAuth作用域。
点击 下一步。
在向导的步骤2中，复制PingOne重定向URI并将其粘贴到Azure AD应用程序注册中。
可以在Azure AD中的应用程序注册下的概览部分配置重定向URI。
选择重定向URI > 添加平台 > Web并输入从PingOne复制的重定向URI。选择配置以保存更改。
回到PingOne配置向导，复制并粘贴URI后选择下一步。
在向导的步骤3中，通过将Azure AD中的传入属性或声明映射到PingOne来配置映射属性部分。您可以保留默认的属性映射。
在向导的步骤4中，选择是否从Azure AD同步您的用户组到PingOne用户组。
同步成功需要权限User.Read和Group.Read.All。
您的Azure提供程序中不存在的任何PingOne用户组将被Azure组替换。
当用户首次在PingOne上登录（SSO）时，您Azure组中的每个成员都会自动添加到相应的PingOne组。这是PingOne的即时用户预配。
单击保存以完成将Azure AD连接到PingOne的配置。
6. 配置OIDC应用程序
在成功配置Azure AD和PingOne之间的身份桥接后，您需要配置并启用Apollo作为OIDC应用程序。此应用程序的配置应已初始化，您可以通过PingOne管理控制台中的完成应用程序配置提醒下的应用程序访问它。
在完成应用程序配置下选择Meteor Development Group - GraphOS Studio。
ⓘ 注
如果添加OIDC应用程序向导没有自动弹出，请选择SAML选项卡，然后选择OIDC选项卡。
在添加OIDC应用程序向导的第1步中，配置应用程序名称、描述、类别和图标（可选）。
单击下一步以进入步骤2-5（这些是默认配置的）。
在向导的第6步（属性映射）中，必须将email映射到email，将sub映射到preferred_username。您可以选择为给定名称、姓氏等映射更多属性。
在向导的第7步（组访问）中，选择应收到Apollo SSO访问权限的任何组。
单击完成以完成配置。
7. 通知Apollo
完成上述步骤后，联系您的Apollo联系人。他们将完成您的SSO配置。

上一页
Okta
下一页
通用SAML设置