Single Sign-On mit Google Workspace einrichten
Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Microsoft Entra ID für Enterprise SSO.
Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.
Schritt 1: Ein neues Projekt auf der Google Cloud Platform erstellen
Bevor du Google Workspace als Authentifizierungsanbieter verwenden kannst, musst du ein Projekt in der Google API Console einrichten, um OAuth 2.0-Anmeldedaten zu erhalten. Wenn du bereits ein Projekt hast, kannst du diesen Schritt überspringen. Andernfalls erstelle ein neues Projekt unter deiner Google-Organisation.
Schritt 2: Den Zustimmungsbildschirm für deine Anwendung konfigurieren
Um ein neues OIDC-Zertifikat zu erstellen, musst du den Zustimmungsbildschirm für deine Anwendung konfigurieren.
- Navigiere zur Seite OAuth-Zustimmungsbildschirm und wähle den Benutzertyp
Intern
. Dadurch wird die OAuth-Anwendung nur für Benutzer innerhalb deiner Organisation verfügbar.
- Fülle die Einstellungen des
Zustimmungsbildschirms
gemäß den Anweisungen auf der Seite aus. Du musst die folgenden Mindestinformationen angeben:
- Anwendungsname: Der Name deiner Anwendung. Er wird auf dem Zustimmungsbildschirm angezeigt.
- Support-E-Mail: Die Support-E-Mail deiner Anwendung. Sie wird auf dem Zustimmungsbildschirm angezeigt.
- Setze die
Berechtigungen (Scopes)
für deine Anwendung. Um die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß vom IdP abzurufen, müssen Logto SSO Connectors die folgenden Berechtigungen vom IdP gewähren:
- openid: Diese Berechtigung ist für die OIDC-Authentifizierung erforderlich. Sie wird verwendet, um das ID-Token abzurufen und Zugriff auf den userInfo-Endpunkt des IdP zu erhalten.
- profile: Diese Berechtigung ist erforderlich, um auf die grundlegenden Profilinformationen des Benutzers zuzugreifen.
- email: Diese Berechtigung ist erforderlich, um auf die E-Mail-Adresse des Benutzers zuzugreifen.
Klicke auf die Schaltfläche Speichern
, um die Einstellungen des Zustimmungsbildschirms zu speichern.
Schritt 3: Ein neues OAuth-Anmeldeinformation erstellen
Navigiere zur Seite Credentials und klicke auf die Schaltfläche Create Credentials
. Wähle die Option OAuth client ID
aus dem Dropdown-Menü, um ein neues OAuth-Zertifikat für deine Anwendung zu erstellen.
Fahre mit der Einrichtung des OAuth-Zertifikats fort, indem du die folgenden Informationen ausfüllst:
- Wähle
Web application
als Anwendungstyp. - Fülle den
Name
deiner Client-Anwendung aus, zum BeispielLogto SSO Connector
. Dies hilft dir, die Anmeldeinformationen in der Zukunft zu identifizieren. - Fülle die
Authorized redirect URIs
mit der Logto-Callback-URI aus. Dies ist die URI, zu der Google den Browser des Benutzers nach erfolgreicher Authentifizierung umleitet. Nachdem sich ein Benutzer erfolgreich beim IdP authentifiziert hat, leitet der IdP den Browser des Benutzers zurück zu dieser festgelegten URI zusammen mit einem Autorisierungscode. Logto wird den Authentifizierungsprozess basierend auf dem von dieser URI erhaltenen Autorisierungscode abschließen. - Fülle die
Authorized JavaScript origins
mit dem Ursprung der Logto-Callback-URI aus. Dies stellt sicher, dass nur deine Logto-Anwendung Anfragen an den Google OAuth-Server senden kann. - Klicke auf die Schaltfläche
Create
, um das OAuth-Zertifikat zu erstellen.
Schritt 4: Logto-Connector mit den Client-Anmeldeinformationen einrichten
Nach erfolgreicher Erstellung der OAuth-Anmeldeinformationen erhältst du ein Eingabeaufforderungsfenster mit der Client-ID und dem Client-Geheimnis.
Kopiere die Client ID
und das Client secret
und fülle die entsprechenden Felder im Connection
-Tab des SSO-Connectors von Logto aus.
Jetzt hast du erfolgreich einen Google Workspace SSO-Connector auf Logto konfiguriert.
Schritt 5: Zusätzliche Berechtigungen (Optional)
Verwende das Feld Scope
, um zusätzliche Berechtigungen zu deiner OAuth-Anfrage hinzuzufügen. Dadurch kannst du mehr Informationen vom Google OAuth-Server anfordern. Bitte sieh dir die Google OAuth Scopes Dokumentation für weitere Informationen an.
Unabhängig von den benutzerdefinierten Berechtigungseinstellungen wird Logto immer die Berechtigungen openid
, profile
und email
an den Identitätsanbieter (IdP) senden. Dies stellt sicher, dass Logto die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß abrufen kann.
Schritt 6: E-Mail-Domains festlegen und den SSO-Connector aktivieren
Gib die E-Mail-Domains
deiner Organisation auf der Registerkarte SSO-Erfahrung
des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.
Benutzer mit E-Mail-Adressen in den angegebenen Domains werden weitergeleitet, um deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.
Für weitere Informationen über den Google Workspace SSO-Connector, siehe bitte Google OpenID Connector.