从10月8日至10日加入我们在纽约市的聚会,了解有关GraphQL联盟和API平台工程的最新技巧、趋势和新闻。加入我们在纽约市的2024年GraphQL峰会
文档
免费开始

使用Okta的SAML SSO自助服务

将Okta配置为GraphOS组织的身份提供者

自助服务单点登录(SSO)仅适用于之前已与PingOne配置了SSO并需要迁移的组织 用户。如果您不确定是否需要迁移,请参阅 迁移指南。如果您是首次设置SSO,请参考 这些说明

本指南将指导您如何将Okta配置为基于SAML的SSO方法的GraphOS组织的身份提供者(IdP)。设置集成后,您需要在Okta中为用户分配它,以便他们可以通过SSO访问

迁移注意事项

⚠️ 注意

如果您组织的SSO是在2024年4月之前设置的,您必须在2024年11月15日之前使用 更新的说明创建新的SSO配置。2024年11月15日之后,旧配置将不再有效,如果您没有创建新的配置,您的组织将失去对GraphOS的访问权限。

要从旧配置迁移,GraphOS的 组织管理员 必须创建新的SSO配置。您可以在旧配置继续为您的组织提供SSO的同时创建新的配置。

GraphOS设置向导将逐步引导您完成配置过程。它不会激活您的新配置,直到确认您可以使用它登录。

SSO Setup Wizard showing the verification step in GraphOS Studio

一旦验证和激活了新配置,您应该从您的IdP中删除任何旧配置。

先决条件

设置需要

  • 具有管理员权限的Okta用户帐户
  • 拥有 组织管理员 角色GraphOS 用户帐户

设置

SAML基于SSO的设置有以下步骤:

  1. 在GraphOS Studio中输入您的SSO详细信息。
  2. 创建一个自定义的Okta应用集成用于GraphOS.
  3. 在GraphOS Studio中共享您的Okta应用集成SAML元数据。
  4. 验证和配置OIDC详细信息。
  5. 验证您的SSO配置是否正常工作。
  6. 在GraphOS Studio中启用SSO。

GraphOS Studio中的SSO设置向导将引导您完成以下步骤。

步骤1. 输入您的SSO详细信息

  1. 前往 GraphOS Studio. 从顶部导航栏打开 设置 页面。从左侧边栏打开 安全 选项卡并点击 迁移SSO。将出现设置向导。
  2. 输入您要设置的SSO所用的 电子邮件域名。点击 继续
  3. 选择 SAML 作为SSO类型。点击 继续.

步骤2. 创建自定义Okta应用集成

  1. 一旦您进入向导中的 步骤2: 配置您的IdP,在另一个浏览器选项卡中打开您的Okta管理员仪表板。

  2. 在您的Okta管理员仪表板中,转到 应用程序视图并点击 创建应用集成

    注意

    要使用Apollo SSO的最新版本,请确保您在Okta中创建一个自定义应用集成,而不是使用Okta应用网络中的GraphOS应用。

  3. 在出现的对话中,选择 SAML 2.0 作为您的登录方法。点击 下一步

    Okta create app integration modal

  4. 将出现 创建SAML集成 对话框。在 常规设置 步骤中,提供以下值:

    Okta create SAML integration step

    然后点击 下一步

  5. 配置SAML 步骤中,提供以下值:

    • 单一登录URL: 设置向导提供的单一登录URL
      • 同时检查 用于接收器URL和目标URL
    • 受众URI(SP实体ID): 设置向导提供的实体ID
    • 保留其他设置的默认值,包括保留 RelayState 为空。

  6. 仍然在 配置SAML 步骤中,向下滚动到 属性声明。为以下属性设置值:

    • sub: user.email
    • email: user.email
    • given_name: user.firstName
    • family_name: user.lastName

    保留 名称格式未指定

    Okta configure attributes statements

    然后点击 下一步

  7. 帮助Okta支持了解您如何配置此应用 步骤中,选择 我是添加内部应用的Okta客户。 点击 完成

  8. 在GraphOS Studio的设置向导中,选择您的Okta实施是否需要签署AuthnRequest。

  9. 点击 下一步

第3步。与Apollo共享SSO元数据

  1. 在您的Okta管理员仪表板中,转到您刚刚创建的应用集成中的 登录 > 设置 > SAML 2.0 > 元数据细节 部分。

    Okta settings

  2. 元数据URL 文本框的内容复制并粘贴到GraphOS Studio的设置向导中。一旦向导显示表示成功解析SAML元数据的绿色成功横幅,点击 下一步

第4步。验证细节

GraphOS Studio的设置向导根据您在上一步中输入的URL填充您的SSO元数据。请验证这些值是否正确。

您可以在为GraphOS创建的应用集成中,在您的Okta管理员仪表板中找到您的 EntityIDSSO URL

  • 您的应用集成中的 Entity ID登录 选项卡中。下拉到 SAML 2.0 部分,查找标有 发行者。 (您可能需要点击 更多详细信息 来查看它。) 此字段 包含Entity ID,采用URL格式:http://www.okta.com/<唯一标识符>
  • SSO URL也位于 SAML 2.0 部分的 字段 中,标有 登录URL
Okta SSO details

验证值或更正后,点击 下一步

第5步。验证SSO配置

为了验证SSO配置是否有效,请点击GraphOS Studio向导中的 使用新SSO登录。 此按钮 新的登录会话,在一个新的浏览器标签中。一旦您使用新的配置成功登录,请点击 下一步

第6步。启用SSO

在设置向导中,点击 完成 按钮完成设置。

一旦您点击 完成,所有用户都将从您的组织中注销,并需要从 https://studio.apollographql.com/login 使用SSO重新登录。要授予他们访问权限,请确保您已 分配 到您新的自定义应用集成Okta.

一旦您确认新的配置按预期工作,如果有的话,请从Okta删除任何遗留的Apollo应用程序。

在Okta中分配用户

设置好SSO后,您需要将用户分配给它,以便他们可以访问GraphOS。您可以通过以下步骤分配单个用户或组:

  1. 从您的Okta管理员仪表板打开左侧菜单中的 应用程序视图,并打开 集成。然后,点击 分配选项卡。

    GraphOS Studio Okta integration assignment settings

  2. 点击 分配下拉菜单,然后选择 分配给人员分配给组

  3. 点击您想授予访问GraphOS Studio org权限的人员或组右侧的 分配

每次您想向新用户或组授予GraphOS Studio访问权限时,请重复这些步骤。Okta将在分配选项卡中显示您分配给集成的每个用户和组。

上一页
可用性
下一页
Microsoft Entra ID
评估文章评分在GitHub上编辑编辑论坛Discord

©2024Apollo Graph Inc.,即Apollo GraphQL。

隐私政策

公司

资源

联系