Single Sign-On mit OpenID Connect (OIDC) einrichten
Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit jedem OIDC-basierten Identitätsanbieter (IdP).
Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.
Schritt 1: Erstelle eine OIDC-Anwendung auf deinem IdP
Beginne die OIDC SSO-Integration, indem du eine Anwendung auf der IdP-Seite erstellst. Du musst die folgenden Konfigurationen vom Logto-Server bereitstellen.
- Callback-URI: Die Logto Callback-URI, auch bekannt als Redirect-URI oder Reply-URL, ist ein spezifischer Endpunkt oder eine URL, die der IdP verwendet, um den Browser des Benutzers nach erfolgreicher Authentifizierung weiterzuleiten. Nachdem ein Benutzer sich erfolgreich beim IdP authentifiziert hat, leitet der IdP den Browser des Benutzers zusammen mit einem Autorisierungscode zurück zu dieser festgelegten URI. Logto wird den Authentifizierungsprozess basierend auf dem von dieser URI empfangenen Autorisierungscode abschließen.
Fülle die Logto Callback-URI in das Einstellungsformular deiner IdP OIDC-Anwendung ein und fahre mit der Erstellung der Anwendung fort. (Die meisten OIDC IdPs bieten eine breite Palette von Anwendungstypen zur Auswahl. Um einen webbasierten SSO-Connector auf Logto zu erstellen, wähle bitte den Typ Web Application.)
Schritt 2: Konfiguriere OIDC SSO auf Logto
Nachdem du erfolgreich eine OIDC-Anwendung auf der IdP-Seite erstellt hast, musst du die IdP-Konfigurationen an Logto zurückgeben. Navigiere zum Tab Connection und fülle die folgenden Konfigurationen aus:
- Client ID: Ein eindeutiger Bezeichner, der deiner OIDC-Anwendung vom IdP zugewiesen wird. Dieser Bezeichner wird von Logto verwendet, um die Anwendung während des OIDC-Flows zu identifizieren und zu authentifizieren.
- Client Secret: Ein vertrauliches Geheimnis, das zwischen Logto und dem IdP geteilt wird. Dieses Geheimnis wird verwendet, um die OIDC-Anwendung zu authentifizieren und die Kommunikation zwischen Logto und dem IdP zu sichern.
- Aussteller (Issuer): Die Aussteller-URL, ein eindeutiger Bezeichner für den IdP, der den Ort angibt, an dem der OIDC-Identitätsanbieter gefunden werden kann. Es ist ein wesentlicher Bestandteil der OIDC-Konfiguration, da es Logto hilft, die notwendigen Endpunkte zu entdecken. Um den Konfigurationsprozess zu erleichtern, wird Logto automatisch die erforderlichen OIDC-Endpunkte und Konfigurationen abrufen. Dies geschieht, indem der von dir bereitgestellte Aussteller verwendet wird und ein Aufruf zu den OIDC-Entdeckungspunkten des IdP gemacht wird. Es ist unerlässlich sicherzustellen, dass der Aussteller-Endpunkt gültig und korrekt konfiguriert ist, damit Logto die erforderlichen Informationen korrekt abrufen kann. Nach einem erfolgreichen Abruf solltest du die analysierten IdP-Konfigurationen im Abschnitt der Aussteller sehen können.
- Berechtigung (Scope): Eine durch Leerzeichen getrennte Liste von Zeichenfolgen, die die gewünschten Berechtigungen oder Zugriffsebenen definieren, die von Logto während des OIDC-Authentifizierungsprozesses angefordert werden. Der Scope-Parameter ermöglicht es dir, anzugeben, welche Informationen und Zugriffe Logto vom IdP anfordert.
Der Scope-Parameter ist optional. Unabhängig von den benutzerdefinierten Scope-Einstellungen wird Logto immer die Scopes
openid,profileundemailan den IdP senden. Dies soll sicherstellen, dass Logto die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß vom IdP abrufen kann. Du kannst zusätzliche Scopes zum Scope-Parameter hinzufügen, um mehr Informationen vom IdP anzufordern.
Schritt 3: E-Mail-Domains festlegen und den SSO-Connector aktivieren
Gib die E-Mail-Domains deiner Organisation im Tab SSO-Erfahrung des Logto-Connectors an. Dies wird den SSO-Connector als Authentifizierungsmethode für diese Benutzer aktivieren.
Benutzer mit E-Mail-Adressen in den angegebenen Domains werden zur Nutzung deines SSO-Connectors als einzige Authentifizierungsmethode weitergeleitet.