Zum Hauptinhalt springen

Single Sign-On mit Microsoft Entra ID (OIDC) einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID (früher Azure AD) für Enterprise SSO.

tipp

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: Erstellen einer Microsoft Entra ID OIDC-Anwendung

  1. Gehe zum Microsoft Entra Admin Center und melde dich als Administrator an.

  2. Navigiere zu Identity > Applications > App registrations.

Anwendung erstellen

  1. Wähle New registration.

  2. Gib den Anwendungsnamen ein und wähle den entsprechenden Kontotyp für deine Anwendung aus.

  3. Wähle Web als Anwendungsplattform.

  4. Kopiere und füge die redirect URI von der SSO-Einstellungsseite von Logto ein. Die redirect URI ist die URL, zu der der Benutzer weitergeleitet wird, nachdem er sich bei Microsoft Entra ID authentifiziert hat.

Anwendung konfigurieren
  1. Klicke auf Register, um die Anwendung zu erstellen.

Schritt 2: Microsoft Entra ID OIDC SSO bei Logto konfigurieren

Nachdem du erfolgreich eine Microsoft Entra OIDC-Anwendung erstellt hast, musst du die IdP-Konfigurationen an Logto zurückgeben. Navigiere zur Registerkarte Connection in der Logto-Konsole und fülle die folgenden Konfigurationen aus:

  1. Client ID: Eine eindeutige Kennung, die deiner OIDC-Anwendung von Microsoft Entra zugewiesen wird. Diese Kennung wird von Logto verwendet, um die Anwendung während des OIDC-Flows zu identifizieren und zu authentifizieren. Du findest sie auf der Übersichtsseite der Anwendung als Application (client) ID.
Anwendungsdetails
  1. Client Secret: Erstelle ein neues Client Secret und kopiere den Wert zu Logto. Dieses Secret wird verwendet, um die OIDC-Anwendung zu authentifizieren und die Kommunikation zwischen Logto und dem IdP zu sichern.
Secret erstellen

  1. Aussteller (Issuer): Die Aussteller-URL, eine eindeutige Kennung für den IdP, die den Ort angibt, an dem der OIDC-Identitätsanbieter gefunden werden kann. Sie ist ein wesentlicher Bestandteil der OIDC-Konfiguration, da sie Logto hilft, die notwendigen Endpunkte zu entdecken.

    Anstatt alle diese OIDC-Endpunkte manuell bereitzustellen, ruft Logto automatisch alle erforderlichen Konfigurationen und IdP-Endpunkte ab. Dies geschieht, indem die von dir bereitgestellte Aussteller-URL verwendet und ein Aufruf zum Discover-Endpunkt des IdP gemacht wird.

    Um die Aussteller-URL zu erhalten, kannst du sie im Abschnitt Endpoints der Anwendungsübersichtsseite finden.

    Suche den Endpunkt OpenID Connect metadata document und kopiere die URL OHNE den abschließenden Pfad .well-known/openid-configuration. Dies liegt daran, dass Logto automatisch .well-known/openid-configuration an die Aussteller-URL anhängt, wenn die OIDC-Konfigurationen abgerufen werden.

Endpunkte
  1. Berechtigung (Scope): Eine durch Leerzeichen getrennte Liste von Zeichenfolgen, die die gewünschten Berechtigungen oder Zugriffsebenen definieren, die von Logto während des OIDC-Authentifizierungsprozesses angefordert werden. Der Scope-Parameter ermöglicht es dir, anzugeben, welche Informationen und Zugriffe Logto vom IdP anfordert.

Der Scope-Parameter ist optional. Unabhängig von den benutzerdefinierten Scope-Einstellungen sendet Logto immer die openid, profile und email Scopes an den IdP.

Klicke auf Save, um den Konfigurationsprozess abzuschließen.

Schritt 3: E-Mail-Domains festlegen und den SSO-Connector aktivieren

Gib die E-Mail-Domains deiner Organisation auf der Registerkarte Experience des Connectors an. Dies aktiviert den SSO-Connector als Authentifizierungsmethode für diese Benutzer.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden ausschließlich darauf beschränkt, deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.