Okta OIDC 单点登录
注意
这是社区贡献教程,不属于官方支持范围。
本页演示如何把 OPL 数据空间接到 Okta OIDC,并可选按 Okta group 自动同步 OPL 数据空间内部群组。
流程
- 在 Okta 中创建一个 OIDC Web Application
- 把回调地址设成:
https://your-open-webui.com/oauth/oidc/callback- 记录 Client ID 和 Client Secret
- 如果要做组同步,在 ID Token 中加入 groups claim
- 在 OPL 数据空间中配置环境变量
基础环境变量
OAUTH_CLIENT_ID="YOUR_OKTA_CLIENT_ID"
OAUTH_CLIENT_SECRET="YOUR_OKTA_CLIENT_SECRET"
OPENID_PROVIDER_URL="YOUR_OKTA_OIDC_DISCOVERY_URL"
OAUTH_PROVIDER_NAME="Okta"
组同步(可选)
ENABLE_OAUTH_GROUP_MANAGEMENT=true
OAUTH_GROUP_CLAIM="groups"
ENABLE_OAUTH_GROUP_CREATION=false
如果启用组同步,用户在 OPL 数据空间中的群组将按每次登录时的 Okta groups 严格同步。
多节点部署提醒
多实例部署时,所有节点�必须共用同一个 WEBUI_SECRET_KEY,否则用户会在节点切换时重复登录。