使用 Okta 和 SAML 配置控制台 SSO
单点登录 (SSO) 允许用户使用一组凭证访问多个应用程序,从而简化身份验证过程。在 API7 企业版中 ,SSO 支持多种协议,并提供了从现有身份提供商 (IdP) 导入并管理用户的能力。
本指南将引导你通过 SAML 协议使用 Okta 作为身份提供商,为 API7 企业版控制台配置单点登录 (SSO),并为导入的用户设置角色映射。
设置 SSO 集成
本节将指导你使用 Okta 作为身份提供商为 API7 企业版控制台配置单点登录 (SSO)。
配置 Okta
本节描述在 Okta 中的示例配置。如果你使用的是其他的身份提供商 (IdP),请参阅你 IdP 的文档并相应地调整配置。
- 在 Okta Admin Console(管理控制台)中,导航至 Applications > Applications(应用程序 > 应用程序),然后点击 Create App Integration(创建应用集成)。选择 SAML 2.0,然后点击 Next(下一步)。

- 在 General Settings(常规设置)中,设置应用程序名称,例如
API7 SAML,然后点击 Next(下一步)。

- 在 Configure SAML(配置 SAML)中,设置以下值,然后点击 Next(下一步):
- Single sign-on URL(单点登录 URL):设置一个占位符,例如
http://placeholder。你稍后在 API7 控制台中创建登录选项后,将更新此值。 - 启用 Use this for Recipient URL and Destination URL(将其用于收件人 URL 和目标 URL)。
- Audience URI (SP Entity ID)(受众 URI (SP 实体 ID)):设置一个唯一标识符,例如
api7。此值必须与 API7 控制台中的 实体 ID (Entity ID) 匹配。
- Single sign-on URL(单点登录 URL):设置一个占位符,例如

- 在 Feedback(反馈)中,选择 This is an internal app that we have created(这是我们创建的一个内部应用),然后点击 Finish(完成)。

- 在应用程序的 Sign On(登录)选项卡中,复制 Metadata URL(元数据 URL)。你将在 API7 控制台中使用它。

- 在 Sign On(登录)选项卡中,添加以下 Attribute Statements(属性声明):
email:user.profile.emailname:user.profile.displayNameusername:user.profile.login

创建控制台登录选项
- 从顶部导航栏选择 组织 (Organization),然后选择 设置 (Settings)。
- 点击 添加登录选项 (Add Login Option)。

- 填写配置:
- 名称 (Name):唯一的登录名称。该名称应易于用户识别。例如,如果你将名称配置为
okta-saml,你将在控制台登录页面看到Login with okta-saml(使用 okta-saml 登录)选项。 - 提供商 (Provider):选择
SAML。 - 身份提供商元数据 URL (Identity Provider Metadata URL):之前复制的 Okta 元数据 URL。
- 服务提供商根 URL (Service Provider Root URL):你的服务提供商的根 URL。通常是 API7 控制台的地址,例如
https://dashboard.your-company.com。 - 实体 ID (Entity ID):与 Okta 中配置的 Audience URI (SP Entity ID) 相匹配的唯一标识符,例如
api7。 - 属性映射 (Attributes Mapping):API7 用户字段映射到 SAML 声明。例如:
- username:
username - email:
email - name:
name
- username:

- 可选:启用 角色映射 (Role Mapping) 并配置一个规则将 Okta 属性映射到 API7 角色。

- 点击 添加 (Add)。
- 在新的 SAML 登录选项中,复制 服务提供商 ACS URL (Service Provider ACS URL)。

使用 ACS URL 更新 Okta
- 返回 Okta 应用程序并打开 Sign On(登录)选项卡。
- 在 SAML Settings(SAML 设置)部分中点击 Edit(编辑)。
- 使用从 API7 控制台复制的 服务提供商 ACS URL 更新 Single sign-on URL(单点登录 URL),然后保存更改。
