Zum Hauptinhalt springen

Single Sign-On mit Microsoft Entra ID (SAML) einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID (früher Azure AD) für Enterprise SSO.

tipp:

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: Eine Azure AD SSO-Anwendung erstellen

Beginne die Azure AD SSO-Integration, indem du eine SSO-Anwendung auf der Azure AD-Seite erstellst.

  1. Gehe zum Azure-Portal und melde dich als Administrator an.
  2. Wähle den Dienst Microsoft Entra ID.
  3. Navigiere im Seitenmenü zu den Enterprise applications. Klicke auf New application und wähle Create your own application.

Azure AD create application.webp

  1. Gib den Anwendungsnamen ein und wähle Integrate any other application you don't find in the gallery (Non-gallery).
  2. Wähle Setup single sign-on > SAML.

Azure AD set up SSO.webp

  1. Befolge die Anweisungen. Im ersten Schritt musst du die grundlegende SAML-Konfiguration mit den von Logto bereitgestellten Informationen ausfüllen.

Azure AD SP config

  • Audience URI (SP Entity ID): Sie stellt einen global eindeutigen Bezeichner für deinen Logto-Dienst dar und fungiert als EntityId für SP während Authentifizierungsanfragen an den IdP. Dieser Bezeichner ist entscheidend für den sicheren Austausch von SAML-Assertions und anderen authentifizierungsbezogenen Daten zwischen dem IdP und Logto.
  • ACS URL: Die Assertion Consumer Service (ACS) URL ist der Ort, an den die SAML-Assertion mit einer POST-Anfrage gesendet wird. Diese URL wird vom IdP verwendet, um die SAML-Assertion an Logto zu senden. Sie fungiert als Callback-URL, bei der Logto erwartet, die SAML-Antwort mit den Identitätsinformationen des Benutzers zu erhalten und zu verarbeiten.

Klicke auf Save, um fortzufahren.

Schritt 2: SAML SSO bei Logto konfigurieren

Um die SAML SSO-Integration zum Laufen zu bringen, musst du die IdP-Metadaten an Logto zurückgeben. Wechseln wir zurück zur Logto-Seite und navigieren zum Tab Connection deines Azure AD SSO Connectors.

Logto bietet drei verschiedene Möglichkeiten, die IdP-Metadaten zu konfigurieren. Der einfachste Weg ist, die metadata URL der Azure AD SSO-Anwendung bereitzustellen.

Kopiere die App Federation Metadata Url aus dem Abschnitt SAML Certificates deiner Azure AD SSO-Anwendung und füge sie in das Feld Metadata URL in Logto ein.

Azure AD Metadata URL.webp

Logto wird die Metadaten von der URL abrufen und die SAML SSO-Integration automatisch konfigurieren.

Schritt 3: Benutzerattributzuordnung konfigurieren

Logto bietet eine flexible Möglichkeit, die von IdP zurückgegebenen Benutzerattribute den Benutzerattributen in Logto zuzuordnen. Logto synchronisiert standardmäßig die folgenden Benutzerattribute von IdP:

  • id: Der eindeutige Identifikator des Benutzers. Logto liest den nameID Anspruch aus der SAML-Antwort als die Benutzer-SSO-Identitäts-ID.
  • email: Die E-Mail-Adresse des Benutzers. Logto liest den email Anspruch aus der SAML-Antwort standardmäßig als die primäre E-Mail des Benutzers.
  • name: Der Name des Benutzers.

Du kannst die Logik der Benutzerattributzuordnung entweder auf der Azure AD-Seite oder auf der Logto-Seite verwalten.

  1. Ordne die AzureAD-Benutzerattribute den Logto-Benutzerattributen auf der Logto-Seite zu.

    Besuche den Abschnitt Attributes & Claims deiner Azure AD SSO-Anwendung.

    Kopiere die folgenden Attributnamen (mit Namespace-Präfix) und füge sie in die entsprechenden Felder in Logto ein.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name (Empfehlung: Aktualisiere diese Attributwertzuordnung auf user.displayname für eine bessere Benutzererfahrung)

Azure AD default attribute mapping.webp

  1. Ordne die AzureAD-Benutzerattribute den Logto-Benutzerattributen auf der AzureAD-Seite zu.

    Besuche den Abschnitt Attributes & Claims deiner Azure AD SSO-Anwendung.

    Klicke auf Edit und aktualisiere die Felder Additional claims basierend auf den Logto-Benutzerattribut-Einstellungen:

    • Aktualisiere den Anspruchsnamenwert basierend auf den Logto-Benutzerattribut-Einstellungen.
    • Entferne das Namespace-Präfix.
    • Klicke auf Save, um fortzufahren.

    Die Einstellungen sollten folgendermaßen enden:

Azure AD_Logto attribute mapping.webp

Du kannst auch zusätzliche Benutzerattribute auf der Azure AD-Seite angeben. Logto wird die ursprünglichen Benutzerattribute, die von IdP zurückgegeben werden, im Feld sso_identity des Benutzers aufzeichnen.

Schritt 4: Benutzer der Azure AD SSO-Anwendung zuweisen

Besuche den Abschnitt Benutzer und Gruppen deiner Azure AD SSO-Anwendung. Klicke auf Benutzer/Gruppe hinzufügen, um Benutzer der Azure AD SSO-Anwendung zuzuweisen. Nur Benutzer, die deiner Azure AD SSO-Anwendung zugewiesen sind, können sich über den Azure AD SSO-Connector authentifizieren.

Azure AD Benutzer zuweisen.webp

Schritt 5: E-Mail-Domänen festlegen und den SSO-Connector aktivieren

Gib die E-Mail-Domains deiner Organisation im Logto-Connector-Tab SSO experience an. Dies wird den SSO-Connector als Authentifizierungsmethode für diese Benutzer aktivieren.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden zur Verwendung des SAML SSO-Connectors als einzige Authentifizierungsmethode weitergeleitet.

Bitte sieh dir die offizielle Dokumentation von Azure AD für weitere Details zur Azure AD SSO-Integration an.