如何使用 Azure 配置 OIDC SSO

本指南將使用 Azure 作為 SSO 提供商，並使用 Open ID Connect (OIDC) 協議作為我們首選的身份協議。

步驟 1：在你的身份提供商中建立一個新應用程式

在瀏覽器中開啟一個新選項卡/視窗，並登入到你的組織的 Azure 門戶。

導航到 Microsoft Entra ID 管理中心，然後單擊“企業應用程式”。

你將被重定向到此頁面。然後單擊頂部的“新建應用程式”和“建立自己的應用程式”。

輸入應用程式名稱（例如，Hugging Face SSO），然後選擇“註冊應用程式以與 Microsoft Entra ID 整合（你正在開發的應用程式）”。

步驟 2：在 Azure 上配置你的應用程式

在瀏覽器中開啟一個新選項卡/視窗，並導航到你組織設定的 SSO 部分。選擇 OIDC 協議。

從 Hugging Face 組織設定中複製“重定向 URI”，並將其貼上到 Azure Entra ID 的“重定向 URI”欄位中。確保在下拉選單中選擇“Web”。URL 格式如下：`https://huggingface.co/organizations/[organizationIdentifier]/oidc/consume`。

儲存您的新應用程式。

步驟 3：在 Hugging Face 上完成配置

我們將需要收集以下資訊，以便在 Hugging Face 上完成設定

• OIDC 應用的客戶端 ID
• OIDC 應用的客戶端金鑰
• OIDC 應用的頒發者 URL

在 Microsoft Entra ID 中，導航到“企業應用程式”，然後單擊列表中新建立的應用程式。

在應用程式概述中，單擊“單點登入”，然後單擊“轉到應用程式”。

在 OIDC 應用程式概述中，你會找到一個名為“應用程式（客戶端）ID”的可複製欄位。將其複製到剪貼簿，然後貼上到 Huggingface 上的“客戶端 ID”欄位中。

接下來，在 Microsoft Entra 的頂部選單中點選“端點”。複製“OpenID Connect 元資料文件”欄位中的值，並將其貼上到 Hugging Face 的“頒發者 URL”欄位中。

回到 Microsoft Entra，導航到“證書和金鑰”，然後點選“新建客戶端金鑰”以生成一個新金鑰。

建立金鑰後，複製金鑰值並將其貼上到 Hugging Face 的“客戶端金鑰”欄位中。

現在你可以點選“更新並測試 OIDC 配置”來儲存設定。

您應該會被重定向到您的 SSO 提供商 (IdP) 登入提示。登入後，您將重定向到您組織的設定頁面。

OIDC 選擇器旁邊會有一個綠色的勾號，表示測試成功。

步驟 4：在你的組織中啟用 SSO

現在，單點登入已配置並測試完畢，您可以透過點選“啟用”按鈕為組織成員啟用它。

啟用後，你的組織成員必須完成 工作原理 中描述的 SSO 身份驗證流程。

< > 在 GitHub 上更新