如何使用 Okta 配置 SAML SSO

在本指南中，我们将使用 Okta 作为 SSO 提供商，并采用安全断言标记语言 (SAML) 协议作为我们首选的身份协议。

我们目前支持 SP 发起和 IdP 发起的身份验证。用户配置是企业增强版 高级 SSO 的一部分。

步骤 1：在你的身份提供商中创建一个新应用程序

在浏览器中打开一个新选项卡/窗口并登录你的 Okta 帐户。

导航到“管理员/应用程序”并点击“创建应用程序集成”按钮。

然后选择一个“SAML 2.0”应用程序并点击“创建”。

步骤 2：在 Okta 上配置你的应用程序

在浏览器中打开一个新选项卡/窗口，然后导航到你组织的设置中的 SSO 部分。选择 SAML 协议。

从 Hugging Face 的组织设置中复制“断言消费者服务 URL”，并将其粘贴到 Okta 的“单一登录 URL”字段中。该 URL 如下所示：https://huggingface.co/organizations/[organizationIdentifier]/saml/consume。

在 Okta 上，进行以下设置

• 将受众 URI (SP 实体 ID) 设置为与 Hugging Face 上的“SP 实体 ID”值匹配。
• 将名称 ID 格式设置为 EmailAddress。
• 在“显示高级设置”下，验证响应和断言签名是否设置为：已签名。

保存您的新应用程序。

步骤 3：在 Hugging Face 上完成配置

在你的 Okta 应用程序中，在“登录/设置/更多详细信息”下，找到以下字段

• 登录 URL
• 公共证书
• SP 实体 ID 你将需要它们来完成 Hugging Face 上的 SSO 设置。

在你的组织设置的 SSO 部分，从 Okta 复制粘贴这些值

• 登录 URL
• SP 实体 ID
• 公共证书

公共证书必须是以下格式

-----BEGIN CERTIFICATE-----
{certificate}
-----END CERTIFICATE-----

你现在可以点击“更新并测试 SAML 配置”来保存设置。

您应该会被重定向到您的 SSO 提供商 (IdP) 登录提示。登录后，您将重定向到您组织的设置页面。

SAML 选择器旁边的绿色复选标记将证明测试成功。

步骤 4：在你的组织中启用 SSO

现在，单点登录已配置并测试完毕，您可以通过点击“启用”按钮为组织成员启用它。

启用后，你的组织成员必须完成 工作原理？ 部分所述的 SSO 身份验证流程。