Zum Hauptinhalt springen

Single Sign-On mit OpenID Connect (OIDC) einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit jedem OIDC-basierten Identitätsanbieter (IdP).

tipp:

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: OIDC-Anwendung auf deinem IdP erstellen

Starte die OIDC SSO-Integration, indem du eine Anwendung auf der IdP-Seite erstellst. Du musst die folgenden Konfigurationen vom Logto-Server bereitstellen.

  • Callback-URI: Die Logto Callback-URI, auch bekannt als Redirect-URI oder Reply-URL, ist ein spezifischer Endpunkt oder eine URL, die der IdP verwendet, um den Browser des Benutzers nach erfolgreicher Authentifizierung umzuleiten. Nachdem ein Benutzer sich erfolgreich beim IdP authentifiziert hat, leitet der IdP den Browser des Benutzers zurück zu dieser festgelegten URI zusammen mit einem Autorisierungscode. Logto wird den Authentifizierungsprozess basierend auf dem Autorisierungscode abschließen, der von dieser URI empfangen wird.

Fülle die Logto Callback-URI in das OIDC-Anwendungseinstellungsformular deines IdP aus und fahre mit der Erstellung der Anwendung fort. (Die meisten OIDC IdPs bieten eine breite Palette von Anwendungstypen zur Auswahl an. Um einen webbasierten SSO-Connector auf Logto zu erstellen, wähle bitte den Anwendungstyp Web Application.)

Schritt 2: OIDC SSO in Logto konfigurieren

Nachdem du erfolgreich eine OIDC-Anwendung auf der IdP-Seite erstellt hast, musst du die IdP-Konfigurationen an Logto zurückgeben. Navigiere zum Tab Connection und fülle die folgenden Konfigurationen aus:

  • Client ID: Ein eindeutiger Bezeichner, der deiner OIDC-Anwendung vom IdP zugewiesen wurde. Dieser Bezeichner wird von Logto verwendet, um die Anwendung während des OIDC-Flows zu identifizieren und zu authentifizieren.
  • Client Secret: Ein vertrauliches Geheimnis, das zwischen Logto und dem IdP geteilt wird. Dieses Geheimnis wird verwendet, um die OIDC-Anwendung zu authentifizieren und die Kommunikation zwischen Logto und dem IdP abzusichern.
  • Aussteller (Issuer): Die Aussteller-URL, ein eindeutiger Bezeichner für den IdP, der den Ort angibt, an dem der OIDC-Identitätsanbieter gefunden werden kann. Sie ist ein entscheidender Bestandteil der OIDC-Konfiguration, da sie Logto hilft, die notwendigen Endpunkte zu entdecken. Um den Konfigurationsprozess zu erleichtern, ruft Logto automatisch die erforderlichen OIDC-Endpunkte und Konfigurationen ab. Dies geschieht, indem der von dir angegebene Aussteller verwendet und ein Aufruf an die OIDC-Discovery-Endpunkte des IdP gemacht wird. Es ist zwingend erforderlich, sicherzustellen, dass der Aussteller-Endpunkt gültig und korrekt konfiguriert ist, damit Logto die benötigten Informationen korrekt abrufen kann. Nach einem erfolgreichen Abruf solltest du die analysierten IdP-Konfigurationen im Bereich „Aussteller“ sehen können.

Schritt 3: Berechtigungen (Scopes) konfigurieren (Optional)

Berechtigungen (Scopes) definieren die Berechtigungen, die deine App von den Benutzern anfordert, und steuern, auf welche Daten deine App in deren Unternehmenskonten zugreifen kann.

Das Einrichten von Berechtigungen erfordert eine Konfiguration auf beiden Seiten:

  1. Dein Identitätsanbieter (IdP): Konfiguriere, welche Berechtigungen für die Autorisierung in deiner IdP-Konsole erlaubt sind
    • Einige IdPs aktivieren standardmäßig alle öffentlichen Berechtigungen (keine Aktion erforderlich)
    • Andere erfordern, dass du Berechtigungen explizit gewährst
  2. Logto Enterprise Connector: Gib an, welche Berechtigungen während der Authentifizierung im Logto OIDC Enterprise Connector unter Einstellungen > Feld Scopes angefordert werden sollen.
    • Logto fügt immer die Berechtigungen openid, profile und email hinzu, um grundlegende Benutzeridentitätsinformationen abzurufen, unabhängig von deinen benutzerdefinierten Berechtigungseinstellungen.
    • Du kannst zusätzliche Berechtigungen (durch Leerzeichen getrennt) hinzufügen, um weitere Informationen vom IdP anzufordern.
tipp:

Wenn deine App APIs mit diesen Berechtigungen (Scopes) aufrufen muss, stelle sicher, dass du Tokens für dauerhaften API-Zugriff speichern im Logto Enterprise Connector aktivierst. Siehe den nächsten Abschnitt für Details.

Schritt 4: Tokens speichern, um auf Drittanbieter-APIs zuzugreifen (Optional)

Wenn du auf die APIs des Identitätsanbieters (Identity Provider) zugreifen und Aktionen mit Benutzerautorisierung durchführen möchtest, muss Logto bestimmte API-Berechtigungen (Scopes) erhalten und Tokens speichern.

  1. Füge die erforderlichen Berechtigungen im Feld scope gemäß den obigen Anweisungen hinzu.
  2. Aktiviere Tokens für dauerhaften API-Zugriff speichern im Logto OIDC Enterprise Connector. Logto speichert Zugangstokens (Access tokens) sicher im Secret Vault.
  3. Für Standard OIDC-Identitätsanbieter (Identity Provider) muss der offline_access Scope enthalten sein, um ein Auffrischungstoken (Refresh token) zu erhalten und wiederholte Benutzerzustimmungsaufforderungen zu vermeiden.

Schritt 5: E-Mail-Domains festlegen und den SSO-Connector aktivieren

Gib die E-Mail-Domains deiner Organisation im Tab SSO-Erfahrung des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden weitergeleitet, um deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.