访问
ArchibotChat 访问和 SSO
在单点登录步骤中提交您的身份提供商详细信息,以便 ISM 配置组织登录。
最近更新
单点登录步骤是客户管理员向 ISM 提交将身份提供商 (IdP) 连接到 ArchibotChat 和 Console 所需的非机密详细信息的地方。您提交元数据、声明映射和角色组;ISM 通过经批准的渠道完成机密交换,并在登录准备好进行测试时确认。
本指南涵盖 /account/sso 路由的表单。它不授予或更改单个产品访问权限。有关产品门控和计费如何决定已登录用户可以打开什么内容,请参阅 ArchibotChat 设置 和 ArchibotChat 计费和额度。
开始之前
- 您必须是客户管理员才能提交 SSO 设置。
- 让您的 IdP 管理员在场,或您本人是 IdP 管理员,以便您能够读取应用元数据。
- 了解您的用户使用哪些电子邮件域登录。
- 决定您将使用的协议:OIDC 或 SAML。
小型团队不必使用 SSO。此步骤是可选的,在您准备好连接 IdP 之前,您可以继续使用电子邮件邀请。仅当您打算连接提供商时才提交 SSO 详细信息。
打开单点登录步骤
- 打开 Console 并转到账户设置。
- 在账户设置导航中,选择 单点登录。
- 阅读步骤顶部的安全提交横幅。它提醒您此表单仅接受非机密元数据。
步骤标题显示其状态(未开始、进行中、需要审查或就绪),对于自助服务账户,还会显示可选标记。
选择您的 IdP 类型和登录域
- 将 IdP 类型 设置为以下之一:
- OIDC 用于 OpenID Connect 提供商。
- SAML 用于 SAML 2.0 提供商。
- 暂无 SSO(使用邀请邮件),如果您尚未准备好连接提供商。
- 在 登录域 中,输入用户登录所使用的电子邮件域的逗号分隔列表,例如
example.com, example.co。如果 Console 已经知道您账户的域,您可以从查找中选择一个进行追加。
更改 IdP 类型或域会清除任何先前的元数据验证结果,因此在调整后请重新验证。
将 Console 指向您的提供商元数据
发现 / 元数据 URL 行帮助您查找并确认正确的元数据 URL。
- 从预设列表中选择您的提供商。预设包括 Microsoft Entra ID、Okta、Google Workspace、Auth0、OneLogin 和其他提供商。每个预设都会显示它期望的主机提示,例如租户 ID 或
company.okta.com。 - 选择 使用提供商 URL,用根据您的提供商和域构建的建议发现 URL 填充元数据字段。如果尚无法构建建议,Console 会告诉您需要先输入什么(登录域或租户值)。
- 选择 打开提供商控制台,在新标签页中打开提供商的管理控制台。
- 某些预设会添加特定于提供商的设置交接按钮(例如,打开应用注册或声明屏幕)。使用这些按钮直接跳转到创建或检查 IdP 应用程序的屏幕。
- 如果您已经有确切的元数据 URL,请改为在元数据字段中键入或粘贴它,例如
https://idp.example.com/.well-known/openid-configuration。
Console 仅根据您的选择构建建议和链接。它不会读取或存储机密。
验证元数据
- 选择 验证元数据。Console 访问提供商元数据 URL 并检查预期字段。运行时按钮会显示 正在验证…。
- 阅读字段下方的结果面板:
- 元数据已验证 表示 Console 已访问提供商并找到了预期字段。它会显示发现的颁发者或实体 ID,以便您确认它与您的提供商匹配。
- 元数据需要注意 表示 Console 无法验证元数据。重新检查 URL、域和协议,然后重试。
验证是只读的。它确认 URL 可访问且格式正确;它不会完成连接。
映射声明和角色组
ISM 使用这些值将已登录用户映射到正确的身份和角色。每个字段都接受快速选择列表中的常见值或您自己的输入。
| 字段 | 它是什么 | 示例 |
|---|---|---|
| 提供商应用引用 | 来自您提供商的非机密应用、客户端或企业应用程序 ID | 00000000-0000-0000-0000-000000000000 |
| 用户名声明 | 承载用户名的声明 | preferred_username |
| 电子邮件声明 | 承载电子邮件地址的声明 | email |
| 组声明 | 承载组或角色成员资格的声明 | groups |
| 管理员组名称 | 其成员成为 Archibot 管理员的组 | archibot-admins |
| 成员组名称 | 其成员成为标准成员的组 | archibot-users |
| 测试管理员电子邮件 | ISM 可用于测试登录的管理员账户 | admin-test@example.com |
| 测试成员电子邮件 | ISM 可用于测试登录的成员账户 | member-test@example.com |
提供商应用引用仅是非机密标识符。它使 ISM 能够将 Console 交接备注与确切的 IdP 应用程序关联起来。请勿在此处输入客户端密钥。
阅读 SSO 就绪状态面板
在字段下方,SSO 就绪状态 面板用 ready/total 徽章总结您的提交完整程度。当您填写匹配的详细信息时,每个磁贴会变为就绪:
- 登录域 — 至少设置了一个登录域。
- 元数据验证 — 元数据 URL 存在且已验证。
- 提供商应用程序 — 已提供提供商应用引用。
- 声明映射 — 用户名和电子邮件声明已映射。
- 角色组 — 管理员组和成员组已命名。
- 回调 — 已考虑提供商端的回调设置。
- 测试用户 — 至少提供了一个测试账户。
您不必在提交前达到每个项目,但更完整的就绪状态摘要可让 ISM 更快完成。
提交您的 SSO 设置
- 如果您需要为尚无法完成设备 MFA 的已批准用户提供临时密码回退,请设置 密码回退 选项以请求它。仅当您的账户启用了密码回退时才可用,并且 ISM 必须先批准并启用该策略才会更改登录行为。
- 在 SSO 备注 中添加 ISM 应了解的任何内容,例如维护窗口或提供商的怪异之处。
- 选择 提交 SSO 设置。
Console 确认提交,并告诉您配置准备好进行测试后 ISM 将与您联系。ISM 完成连接并通过经批准的渠道交换任何机密,绝不通过此表单。
不应填入此表单的内容
单点登录步骤仅接受非机密的 OIDC 或 SAML 元数据。请勿粘贴:
- 客户端密钥或签名密钥。
- 包含私有材料的私钥或证书。
- Cookie、会话令牌或邀请令牌。
- 密码。
如果 ISM 需要机密来完成连接,他们会通过经批准的渠道请求。
提交之后
- ISM 审查您的提交并联系您以确认或提出后续问题。
- 连接上线后,您的用户将在 ArchibotChat URL 上通过您的组织登录。
- 成功登录与启用了产品不是一回事。产品门控和计费仍决定每个用户可以打开什么内容。请参阅 ArchibotChat 设置。
相关指南
完成标志
- 您可以在账户设置下打开单点登录步骤。
- 元数据验证返回已验证的结果。
- SSO 就绪状态将您关心的项目显示为就绪。
- 您的 SSO 设置已提交给 ISM,且不含任何机密。