Zum Hauptinhalt springen

OIDC-Authentifizierungsablauf verstehen

Logto basiert auf den Standards OAuth 2.0 und OpenID Connect (OIDC). Das Verständnis dieser Authentifizierungsstandards erleichtert den Integrationsprozess erheblich.

Benutzer-Authentifizierungsablauf

So läuft es ab, wenn sich ein Benutzer mit Logto anmeldet:

In diesem Ablauf sind mehrere Schlüsselkonzepte für den Integrationsprozess wichtig:

  • Application: Dies repräsentiert deine App in Logto. Du erstellst eine Anwendungskonfiguration in der Logto-Konsole, um eine Verbindung zwischen deiner tatsächlichen Anwendung und den Logto-Diensten herzustellen. Erfahre mehr über Application.
  • Redirect URI: Nachdem Benutzer die Authentifizierung auf der Logto-Anmeldeseite abgeschlossen haben, leitet Logto sie über diese URI zurück zu deiner Anwendung. Du musst die Redirect URI in deinen Anwendungseinstellungen konfigurieren. Weitere Details findest du unter Redirect URIs.
  • Handle sign-in callback: Wenn Logto Benutzer zurück zu deiner Anwendung leitet, muss deine App die Authentifizierungsdaten verarbeiten und Zugangstokens und Benutzerinformationen anfordern. Keine Sorge - das Logto SDK übernimmt dies automatisch.

Diese Übersicht deckt die wesentlichen Punkte für eine schnelle Integration ab. Für ein tieferes Verständnis, schaue dir unseren Leitfaden Sign-in experience explained an.

Maschine-zu-Maschine-Authentifizierungsablauf

Logto bietet den Maschine-zu-Maschine (M2M) Anwendungstyp an, um direkte Authentifizierung zwischen Diensten zu ermöglichen, basierend auf dem OAuth 2.0 Client Credentials Flow:

Dieser Maschine-zu-Maschine (M2M) Authentifizierungsablauf ist für Anwendungen konzipiert, die direkt mit Ressourcen kommunizieren müssen, ohne Benutzerinteraktion (also ohne UI), wie ein API-Dienst, der Benutzerdaten in Logto aktualisiert, oder ein Statistikdienst, der tägliche Bestellungen abruft.

In diesem Ablauf authentifizieren sich Dienste mit Client-Anmeldedaten - einer Kombination aus Application ID und Application Secret, die den Dienst eindeutig identifizieren und authentifizieren. Diese Anmeldedaten dienen als Identität des Dienstes, wenn er Zugangstokens von Logto anfordert.

SAML Authentifizierungsablauf

Neben OAuth 2.0 und OIDC unterstützt Logto auch SAML (Security Assertion Markup Language) Authentifizierung und fungiert als Identitätsanbieter (IdP), um die Integration mit Unternehmensanwendungen zu ermöglichen. Derzeit unterstützt Logto den SP-initiierten Authentifizierungsablauf:

SP-initiierter Ablauf

Im SP-initiierten Ablauf beginnt der Authentifizierungsprozess beim Service Provider (deiner Anwendung):

In diesem Ablauf:

  • Der Benutzer startet den Authentifizierungsprozess von deiner Anwendung (Service Provider) aus
  • Deine Anwendung generiert eine SAML-Anfrage und leitet den Benutzer zu Logto (Identity Provider) um
  • Nach erfolgreicher Authentifizierung bei Logto wird eine SAML-Antwort zurück zu deiner Anwendung gesendet
  • Deine Anwendung verarbeitet die SAML-Antwort und schließt die Authentifizierung ab

IdP-initiierter Ablauf

Logto wird in zukünftigen Versionen den IdP-initiierten Ablauf unterstützen, der es Benutzern ermöglicht, den Authentifizierungsprozess direkt vom Logto-Portal aus zu starten. Bleibe für Updates zu dieser Funktion auf dem Laufenden.

Diese SAML-Integration ermöglicht es Unternehmensanwendungen, Logto als ihren Identitätsanbieter zu nutzen und unterstützt sowohl moderne als auch ältere SAML-basierte Service Provider.

Blog: Sichere cloudbasierte Anwendungen mit OAuth 2.0 und OpenID Connect

Warum Single Sign-On (SSO) für mehrere Anwendungen besser ist

Warum du ein zentrales Identitätssystem für ein Multi-App-Geschäft benötigst