如何使用 Okta 配置 SAML SSO

在本指南中，我们将使用 Okta 作为 SSO 提供商，并使用安全断言标记语言 (SAML) 协议作为首选身份协议。

我们目前支持 SP 发起和 IdP 发起的身份验证。目前尚不支持用户配置。

步骤 1：在您的身份提供商中创建一个新的应用程序

在浏览器中打开一个新的标签/窗口，并登录您的 Okta 帐户。

导航到“Admin/Applications”，然后点击“Create App Integration”按钮。

然后选择一个“SAML 2.0”应用程序，然后点击“Create”。

步骤 2：在 Okta 上配置您的应用程序

在浏览器中打开一个新的标签/窗口，并导航到组织设置的 SSO 部分。选择 SAML 协议。

从 Hugging Face 上组织设置中复制“Assertion Consumer Service URL”，并将其粘贴到 Okta 上的“Single sign-on URL”字段中。该 URL 如下所示：https://huggingface.co/organizations/[organizationIdentifier]/saml/consume。

在 Okta 上，设置以下设置

• 将 Audience URI (SP Entity Id) 设置为与 Hugging Face 上的“SP Entity ID”值匹配。
• 将 Name ID 格式设置为 EmailAddress。
• 在“Show Advanced Settings”下，验证 Response 和 Assertion Signature 是否设置为：Signed。

保存您的新应用程序。

步骤 3：完成 Hugging Face 上的配置

在您的 Okta 应用程序中，在“Sign On/Settings/More details”下，找到以下字段

• Sign-on URL
• 公共证书
• SP Entity ID 您将需要它们来完成 Hugging Face 上的 SSO 设置。

在组织设置的 SSO 部分，从 Okta 复制粘贴这些值

• Sign-on URL
• SP Entity ID
• 公共证书

公共证书必须具有以下格式

-----BEGIN CERTIFICATE-----
{certificate}
-----END CERTIFICATE-----

现在，您可以点击“Update and Test SAML configuration”以保存设置。

您应该会重定向到您的 SSO 提供商 (IdP) 登录提示。登录后，您将被重定向到您的组织设置页面。

SAML 选择器附近的绿色复选标记将证明测试成功。

步骤 4：在您的组织中启用 SSO

现在，单点登录已配置并经过测试，您可以通过点击“Enable”按钮为组织成员启用它。

启用后，组织成员必须完成它是如何工作的？ 部分中描述的 SSO 身份验证流程。