archi bot 產品文件

此翻譯為機器自動產生(Beta 版)。英文版指南為權威依據。

存取

ArchibotChat 存取與 SSO

在單一登入步驟中提交您的身分提供者詳細資訊,以便 ISM 配置組織登入。

客戶管理員平台維運人員

最後更新

帶有 IdP 類型、登入網域、探索中繼資料 URL、宣告對應、角色群組和 SSO 就緒狀態面板的 Console 單一登入步驟。
使用安全資料的 Console 呈現範例:單一登入步驟僅收集非機密的 OIDC 或 SAML 詳細資訊,以便 ISM 對應組織存取權限。切勿貼上用戶端密鑰或簽署金鑰。

單一登入步驟是客戶管理員向 ISM 提交將身分提供者 (IdP) 連接到 ArchibotChat 和 Console 所需的非機密詳細資訊的地方。您提交中繼資料、宣告對應和角色群組;ISM 透過經核准的管道完成機密交換,並在登入準備好進行測試時確認。

本指南涵蓋 /account/sso 路由的表單。它不授予或變更個別產品存取權限。有關產品閘控和計費如何決定已登入使用者可以開啟什麼內容,請參閱 ArchibotChat 設定ArchibotChat 計費與額度

開始之前

  • 您必須是客戶管理員才能提交 SSO 設定。
  • 讓您的 IdP 管理員在場,或您本人是 IdP 管理員,以便您能夠讀取應用程式中繼資料。
  • 了解您的使用者使用哪些電子郵件網域登入。
  • 決定您將使用的通訊協定:OIDC 或 SAML。

小型團隊不必使用 SSO。此步驟是選用的,在您準備好連接 IdP 之前,您可以繼續使用電子郵件邀請。僅當您打算連接提供者時才提交 SSO 詳細資訊。

開啟單一登入步驟

  1. 開啟 Console 並前往帳戶設定。
  2. 在帳戶設定導覽中,選取 單一登入
  3. 閱讀步驟頂部的安全提交橫幅。它提醒您此表單僅接受非機密中繼資料。

帶有 IdP 類型選擇器、登入網域和探索中繼資料 URL 列的 Console 單一登入步驟標題。

步驟標題顯示其狀態(未開始、進行中、需要審查或就緒),對於自助服務帳戶,還會顯示選用標記。

選擇您的 IdP 類型和登入網域

  1. IdP 類型 設定為以下之一:
    • OIDC 用於 OpenID Connect 提供者。
    • SAML 用於 SAML 2.0 提供者。
    • 尚無 SSO(使用邀請郵件),如果您尚未準備好連接提供者。
  2. 登入網域 中,輸入使用者登入所使用的電子郵件網域的逗號分隔清單,例如 example.com, example.co。如果 Console 已經知道您帳戶的網域,您可以從查詢中選取一個進行附加。

變更 IdP 類型或網域會清除任何先前的中繼資料驗證結果,因此在調整後請重新驗證。

將 Console 指向您的提供者中繼資料

探索 / 中繼資料 URL 列協助您尋找並確認正確的中繼資料 URL。

  1. 從預設清單中選取您的提供者。預設包括 Microsoft Entra ID、Okta、Google Workspace、Auth0、OneLogin 和其他提供者。每個預設都會顯示它預期的主機提示,例如租戶 ID 或 company.okta.com
  2. 選取 使用提供者 URL,用根據您的提供者和網域建構的建議探索 URL 填入中繼資料欄位。如果尚無法建構建議,Console 會告訴您需要先輸入什麼(登入網域或租戶值)。
  3. 選取 開啟提供者主控台,在新分頁中開啟提供者的管理主控台。
  4. 某些預設會新增特定於提供者的設定交接按鈕(例如,開啟應用程式註冊或宣告畫面)。使用這些按鈕直接跳至建立或檢查 IdP 應用程式的畫面。
  5. 如果您已經有確切的中繼資料 URL,請改為在中繼資料欄位中鍵入或貼上它,例如 https://idp.example.com/.well-known/openid-configuration

Console 僅根據您的選擇建構建議和連結。它不會讀取或儲存機密。

驗證中繼資料

  1. 選取 驗證中繼資料。Console 存取提供者中繼資料 URL 並檢查預期欄位。執行時按鈕會顯示 正在驗證…
  2. 閱讀欄位下方的結果面板:
    • 中繼資料已驗證 表示 Console 已存取提供者並找到了預期欄位。它會顯示探索到的核發者或實體 ID,以便您確認它與您的提供者相符。
    • 中繼資料需要注意 表示 Console 無法驗證中繼資料。重新檢查 URL、網域和通訊協定,然後重試。

驗證是唯讀的。它確認 URL 可存取且格式正確;它不會完成連線。

對應宣告和角色群組

ISM 使用這些值將已登入使用者對應到正確的身分和角色。每個欄位都接受快速選取清單中的常見值或您自己的輸入。

欄位它是什麼範例
提供者應用程式參照來自您提供者的非機密應用程式、用戶端或企業應用程式 ID00000000-0000-0000-0000-000000000000
使用者名稱宣告承載使用者名稱的宣告preferred_username
電子郵件宣告承載電子郵件地址的宣告email
群組宣告承載群組或角色成員資格的宣告groups
管理員群組名稱其成員成為 Archibot 管理員的群組archibot-admins
成員群組名稱其成員成為標準成員的群組archibot-users
測試管理員電子郵件ISM 可用於測試登入的管理員帳戶admin-test@example.com
測試成員電子郵件ISM 可用於測試登入的成員帳戶member-test@example.com

提供者應用程式參照僅是非機密識別碼。它使 ISM 能夠將 Console 交接備註與確切的 IdP 應用程式關聯起來。請勿在此處輸入用戶端密鑰。

閱讀 SSO 就緒狀態面板

在欄位下方,SSO 就緒狀態 面板用 ready/total 徽章總結您的提交完整程度。當您填寫相符的詳細資訊時,每個圖磚會變為就緒:

  • 登入網域 — 至少設定了一個登入網域。
  • 中繼資料驗證 — 中繼資料 URL 存在且已驗證。
  • 提供者應用程式 — 已提供提供者應用程式參照。
  • 宣告對應 — 使用者名稱和電子郵件宣告已對應。
  • 角色群組 — 管理員群組和成員群組已命名。
  • 回呼 — 已考慮提供者端的回呼設定。
  • 測試使用者 — 至少提供了一個測試帳戶。

您不必在提交前達到每個項目,但更完整的就緒狀態摘要可讓 ISM 更快完成。

提交您的 SSO 設定

  1. 如果您需要為尚無法完成裝置 MFA 的已核准使用者提供臨時密碼後援,請設定 密碼後援 選項以要求它。僅當您的帳戶啟用了密碼後援時才可用,並且 ISM 必須先核准並啟用該政策才會變更登入行為。
  2. SSO 備註 中新增 ISM 應了解的任何內容,例如維護視窗或提供者的特異之處。
  3. 選取 提交 SSO 設定

Console 確認提交,並告訴您設定準備好進行測試後 ISM 將與您聯絡。ISM 完成連線並透過經核准的管道交換任何機密,絕不透過此表單。

不應填入此表單的內容

單一登入步驟僅接受非機密的 OIDC 或 SAML 中繼資料。請勿貼上:

  • 用戶端密鑰或簽署金鑰。
  • 包含私密材料的私密金鑰或憑證。
  • Cookie、工作階段權杖或邀請權杖。
  • 密碼。

如果 ISM 需要機密來完成連線,他們會透過經核准的管道要求。

提交之後

  • ISM 審查您的提交並聯絡您以確認或提出後續問題。
  • 連線上線後,您的使用者將在 ArchibotChat URL 上透過您的組織登入。
  • 成功登入與啟用了產品不是一回事。產品閘控和計費仍決定每個使用者可以開啟什麼內容。請參閱 ArchibotChat 設定

相關指南

完成條件

  • 您可以在帳戶設定下開啟單一登入步驟。
  • 中繼資料驗證傳回已驗證的結果。
  • SSO 就緒狀態將您關心的項目顯示為就緒。
  • 您的 SSO 設定已提交給 ISM,且不含任何機密。