SSO 适用于 Enterprise 方案。
配置 SSO
Okta
在 Mintlify dashboard 中配置 Okta SSO
- 在 Mintlify dashboard 中,前往 Identity & access 页面。
- 点击 Configure。
- 选择 Okta SAML。
- 复制 Single sign on URL 和 Audience URI。
在 Okta 中创建 SAML 应用
- 在 Okta 的 Applications 中,使用 SAML 2.0 创建一个新的应用集成。
-
输入来自 Mintlify 的以下信息:
- Single sign on URL:你从 Mintlify dashboard 复制的 URL
- Audience URI:你从 Mintlify dashboard 复制的 URI
- Name ID Format:
EmailAddress
-
添加以下属性声明:
Name Name format Value firstNameBasic user.firstNamelastNameBasic user.lastName
Microsoft Entra
在 Mintlify dashboard 中配置 Microsoft Entra SSO
- 在 Mintlify dashboard 中,前往 Identity & access 页面。
- 点击 Configure。
- 选择 Microsoft Entra ID SAML。
- 复制 Single sign on URL 和 Audience URI。
在 Microsoft Entra 中创建企业应用
- 在 Microsoft Entra 中,前往 Enterprise applications。
- 点击 New application。
- 点击 Create your own application。
- 选择 “Integrate any other application you don’t find in the gallery (Non-gallery)”。
在 Microsoft Entra 中配置 SAML
- 在 Microsoft Entra 中,前往 Single Sign-On。
- 点击 SAML。
- 在 Basic SAML Configuration 下,输入以下内容:
- Identifier (Entity ID):来自 Mintlify 的 Audience URI
- Reply URL (Assertion Consumer Service URL):来自 Mintlify 的 Single sign on URL
在 Microsoft Entra 中配置 Attributes & Claims
- 在 Microsoft Entra 中,前往 Attributes & Claims。
- 在 “Required Claim” 下选择 Unique User Identifier (Name ID)。
- 将 Source 属性更改为
user.primaryauthoritativeemail。 - 在 Additional claims 下,创建以下内容:
Name Value firstNameuser.givennamelastNameuser.surname
JIT(即时)配置
JIT 配置仅适用于由 IdP 发起的登录。用户必须从身份提供商(Okta dashboard 或 Microsoft Entra 门户)发起登录,而不能从 Mintlify 登录页面开始。
已验证域名
- 前往 dashboard 中的 Identity & access 页面。
- 在 SSO 标签页的 Verified domains 部分,输入域名(例如
example.com),然后点击 Add。 - Mintlify 会生成一个验证令牌。在你的 DNS 提供商处,创建一条 TXT 记录,名称为
_mintlify-verification.example.com,值为该令牌。某些 DNS 提供商会自动附加域名。如果是这种情况,只需将记录名称设置为_mintlify-verification即可。 - 返回 dashboard 并点击 Verify。记录传播完成后,状态会从 Pending 变为 Verified。
Require SSO(强制 SSO)
Require SSO(强制 SSO)开启时,Mintlify 会拒绝密码、magic link 和 Google OAuth 登录。
- 前往 dashboard 中的 Identity & access 页面。
- 确认 SSO 已端到端正常工作。在无痕浏览器窗口中,分别从你的身份提供商的应用目录(IdP 发起)以及 Mintlify 登录页面使用已验证域名下的邮箱(SP 发起)登录 Mintlify dashboard。两种流程都应通过你的身份提供商跳转,并最终进入 dashboard。
- 在 SSO 标签页的 Sign-in policy(登录策略)部分,将 Require SSO 开关打开。
应急访问(Break-glass)
- 前往 dashboard 中的 Identity & access 页面。
- 在 SSO 标签页的 Break-glass access 部分,输入应保留非 SSO 访问权限的成员的邮箱地址,然后点击 Add。
将 RBAC 角色映射到 SAML 组
groups 属性,并将这些组映射到 dashboard 角色。
配置组属性声明
groups 属性声明。该属性必须使用 unspecified 名称格式。
生成的 SAML 断言应包含一个 AttributeStatement。
Example SAML assertion
- 属性名称必须为
groups(区分大小写) - 名称格式必须为
urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified - 用户所属的每个组应为单独的
AttributeValue元素
- Okta
- Microsoft Entra
在你的 Okta SAML 应用配置中,添加一个组属性声明:
调整过滤器以匹配你希望发送到 Mintlify 的特定组。
| Name | Name format | Filter | Value |
|---|---|---|---|
groups | Unspecified | Matches regex | .* |
更改或移除 SSO 提供商
- 前往 dashboard 中的 Identity & access 页面。
- 点击 Configure。
- 选择你的首选 SSO 提供商,或选择不使用 SSO。


