README
Single Sign-On mit Microsoft Entra ID (OIDC) einrichten
Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID (früher Azure AD) für Enterprise SSO.
Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.
Schritt 1: Erstelle eine Microsoft EntraID OIDC-Anwendung
-
Gehe zum Microsoft Entra Admin Center und melde dich als Administrator an.
-
Navigiere zu Identity > Applications > App registrations.
-
Wähle
New registration
. -
Gib den Anwendungsnamen ein und wähle den entsprechenden Kontotyp für deine Anwendung aus.
-
Wähle
Web
als Anwendungsplattform. -
Kopiere und füge die
redirect URI
von Logtos SSO-Einstellungsseite ein. Dieredirect URI
ist die URL, zu der der Benutzer weitergeleitet wird, nachdem er sich mit Microsoft Entra ID authentifiziert hat.
- Klicke auf
Register
, um die Anwendung zu erstellen.
Schritt 2: Konfiguriere Microsoft Entra ID OIDC SSO bei Logto
Nach der erfolgreichen Erstellung einer Microsoft Entra OIDC-Anwendung musst du die IdP-Konfigurationen zurück an Logto übermitteln. Navigiere zum Tab Connection
in der Logto-Konsole und fülle die folgenden Konfigurationen aus:
- Client ID: Ein eindeutiger Identifikator, der deiner OIDC-Anwendung von Microsoft Entra zugewiesen wird. Dieser Identifikator wird von Logto verwendet, um die Anwendung während des OIDC-Flows zu identifizieren und zu authentifizieren. Du findest ihn auf der Übersichtsseite der Anwendung als
Application (client) ID
.
- Client Secret: Erstelle ein neues Client Secret und kopiere den Wert zu Logto. Dieses Secret wird verwendet, um die OIDC-Anwendung zu authentifizieren und die Kommunikation zwischen Logto und dem IdP zu sichern.
-
Aussteller (Issuer): Die Aussteller-URL, ein eindeutiger Identifikator für den IdP, der den Ort angibt, an dem der OIDC-Identitätsanbieter gefunden werden kann. Sie ist ein wesentlicher Bestandteil der OIDC-Konfiguration, da sie Logto hilft, die erforderlichen Endpunkte zu entdecken.
Anstatt alle diese OIDC-Endpunkte manuell bereitzustellen, ruft Logto automatisch alle erforderlichen Konfigurationen und IdP-Endpunkte ab. Dies geschieht, indem die von dir bereitgestellte Aussteller-URL verwendet wird und ein Aufruf zum Discover-Endpunkt des IdP gemacht wird.
Um die Aussteller-URL zu erhalten, findest du sie im Abschnitt
Endpoints
auf der Übersichtsseite der Anwendung.Suche den Endpunkt
OpenID Connect metadata document
und kopiere die URL OHNE den abschließenden Pfad.well-known/openid-configuration
. Dies liegt daran, dass Logto automatisch.well-known/openid-configuration
an die Aussteller-URL anhängt, wenn die OIDC-Konfigurationen abgerufen werden.
- Berechtigung (Scope): Eine durch Leerzeichen getrennte Liste von Zeichenfolgen, die die gewünschten Berechtigungen oder Zugriffsebenen definieren, die von Logto während des OIDC-Authentifizierungsprozesses angefordert werden. Der Scope-Parameter ermöglicht es dir, anzugeben, welche Informationen und Zugriffe Logto vom IdP anfordert.
Der Scope-Parameter ist optional. Unabhängig von den benutzerdefinierten Scope-Einstellungen sendet Logto immer die Scopes openid
, profile
und email
an den IdP.
Klicke auf Speichern
, um den Konfigurationsprozess abzuschließen.
Schritt 3: E-Mail-Domänen festlegen und den SSO-Connector aktivieren
Gib die E-Mail-Domains
deiner Organisation auf der Connector-Erfahrung
-Registerkarte an. Dies aktiviert den SSO-Connector als Authentifizierungsmethode für diese Benutzer.
Benutzer mit E-Mail-Adressen in den angegebenen Domains werden ausschließlich darauf beschränkt, deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.