Single Sign-On mit Microsoft Entra ID (SAML) einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID (früher Azure AD) für Enterprise SSO.

tipp

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: Erstelle eine Azure AD SSO-Anwendung

Beginne die Azure AD SSO-Integration, indem du eine SSO-Anwendung auf der Azure AD-Seite erstellst.

1. Gehe zum Azure-Portal und melde dich als Administrator an.
2. Wähle den Dienst Microsoft Entra ID.
3. Navigiere im Seitenmenü zu den Enterprise applications. Klicke auf New application und wähle Create your own application.

1. Gib den Anwendungsnamen ein und wähle Integrate any other application you don't find in the gallery (Non-gallery).
2. Wähle Setup single sign-on > SAML.

1. Folge den Anweisungen. Im ersten Schritt musst du die grundlegende SAML-Konfiguration mit den von Logto bereitgestellten Informationen ausfüllen.

• Audience URI(SP Entity ID): Es stellt einen weltweit eindeutigen Bezeichner für deinen Logto-Dienst dar und fungiert als EntityId für SP während Authentifizierungsanfragen an den IdP. Dieser Bezeichner ist entscheidend für den sicheren Austausch von SAML-Assertions und anderen authentifizierungsbezogenen Daten zwischen dem IdP und Logto.
• ACS URL: Die Assertion Consumer Service (ACS) URL ist der Ort, an den die SAML-Assertion mit einer POST-Anfrage gesendet wird. Diese URL wird vom IdP verwendet, um die SAML-Assertion an Logto zu senden. Sie fungiert als Callback-URL, bei der Logto erwartet, die SAML-Antwort mit den Identitätsinformationen des Benutzers zu erhalten und zu verarbeiten.

Klicke auf Save, um fortzufahren.

Schritt 2: Konfiguriere SAML SSO bei Logto

Um die SAML SSO-Integration zum Laufen zu bringen, musst du die IdP-Metadaten an Logto zurückgeben. Wechseln wir zurück zur Logto-Seite und navigieren zum Connection-Tab deines Azure AD SSO-Connectors.

Logto bietet drei verschiedene Möglichkeiten, die IdP-Metadaten zu konfigurieren. Der einfachste Weg ist die Bereitstellung der metadata URL der Azure AD SSO-Anwendung.

Kopiere die App Federation Metadata Url aus dem SAML Certificates section deiner Azure AD SSO-Anwendung und füge sie in das Metadata URL-Feld in Logto ein.

Logto wird die Metadaten von der URL abrufen und die SAML SSO-Integration automatisch konfigurieren.

Schritt 3: Konfiguriere die Zuordnung der Benutzerattribute

Logto bietet eine flexible Möglichkeit, die von IdP zurückgegebenen Benutzerattribute den Benutzerattributen in Logto zuzuordnen. Logto synchronisiert standardmäßig die folgenden Benutzerattribute von IdP:

• id: Der eindeutige Bezeichner des Benutzers. Logto liest den nameID-Anspruch aus der SAML-Antwort als Benutzer-SSO-Identitäts-ID.
• email: Die E-Mail-Adresse des Benutzers. Logto liest den email-Anspruch aus der SAML-Antwort standardmäßig als primäre E-Mail des Benutzers.
• name: Der Name des Benutzers.

Du kannst die Logik der Benutzerattributzuordnung entweder auf der Azure AD-Seite oder der Logto-Seite verwalten.

1. Ordne die AzureAD-Benutzerattribute den Logto-Benutzerattributen auf der Logto-Seite zu.

   Besuche den Abschnitt Attributes & Claims deiner Azure AD SSO-Anwendung.

   Kopiere die folgenden Attributnamen (mit Namespace-Präfix) und füge sie in die entsprechenden Felder in Logto ein.

   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
   • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name (Empfehlung: Aktualisiere diese Attributwertzuordnung auf user.displayname für eine bessere Benutzererfahrung)

1. Ordne die AzureAD-Benutzerattribute den Logto-Benutzerattributen auf der AzureAD-Seite zu.

   Besuche den Abschnitt Attributes & Claims deiner Azure AD SSO-Anwendung.

   Klicke auf Edit und aktualisiere die Felder Additional claims basierend auf den Logto-Benutzerattribut-Einstellungen:

   • Aktualisiere den Anspruchsnamenwert basierend auf den Logto-Benutzerattribut-Einstellungen.
   • Entferne das Namespace-Präfix.
   • Klicke auf Save, um fortzufahren.

   Am Ende sollten die folgenden Einstellungen vorliegen:

Du kannst auch zusätzliche Benutzerattribute auf der Azure AD-Seite angeben. Logto wird die ursprünglichen Benutzerattribute, die vom IdP zurückgegeben werden, im sso_identity-Feld des Benutzers speichern.

Schritt 4: Weise Benutzer der Azure AD SSO-Anwendung zu

Besuche den Abschnitt Users and groups deiner Azure AD SSO-Anwendung. Klicke auf Add user/group, um Benutzer der Azure AD SSO-Anwendung zuzuweisen. Nur Benutzer, die deiner Azure AD SSO-Anwendung zugewiesen sind, können sich über den Azure AD SSO-Connector authentifizieren.

Schritt 5: E-Mail-Domains festlegen und den SSO-Connector aktivieren

Gib die email domains deiner Organisation im SSO experience-Tab des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden zur Verwendung des SAML SSO-Connectors als einzige Authentifizierungsmethode weitergeleitet.

Bitte überprüfe die offizielle Dokumentation von Azure AD für weitere Details zur Azure AD SSO-Integration.