Single Sign-On mit Okta einrichten
Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit Okta für Enterprise SSO.
Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.
Schritt 1: Erstelle eine OIDC-Anwendung im Okta-Admin-Portal
- Besuche das Okta-Admin-Portal und melde dich als Administrator an.
- Navigiere zur Seite
Applications
/Applications
über das Seitenmenü. - Klicke auf die Schaltfläche
Create App Integration
, um eine neue OIDC-Anwendung zu erstellen. - Wähle die Option
OIDC - OpenID Connect
alsSign-in method
. - Wähle die Option
Web Application
alsApplication type
.
Klicke auf die Schaltfläche Next
, um fortzufahren.
Schritt 2: Konfiguriere die Anwendungseinstellungen
- Gib einen
App integration name
an. Er wird als Identifikator deiner OIDC-Anwendung verwendet. - Füge eine neue
Sign-in redirect URIs
hinzu, indem du die Callback-URL des Logto SSO Connectors verwendest.
Dies ist die URI, zu der Okta den Browser des Benutzers nach erfolgreicher Authentifizierung umleitet. Nachdem sich ein Benutzer erfolgreich beim IdP authentifiziert hat, leitet der IdP den Browser des Benutzers zusammen mit einem Autorisierungscode zurück zu dieser festgelegten URI. Logto wird den Authentifizierungsprozess basierend auf dem von dieser URI erhaltenen Autorisierungscode abschließen.
- Weise Benutzer der Anwendung zu.
Basierend auf den Assignments
-Einstellungen kannst du wählen, ob die Anwendung allen Benutzern oder bestimmten Benutzern/Gruppen zugewiesen werden soll.
Klicke auf die Schaltfläche Save
, um die Anwendungseinstellungen zu speichern.
Schritt 3: Logto-Connector mit den Client-Anmeldedaten einrichten
Nach erfolgreicher Erstellung der OIDC-Anwendung wirst du zur Anwendungsdetailseite weitergeleitet.
Kopiere die client ID
und das client secret
und fülle die entsprechenden Felder auf der Logto SSO Connector Verbindung
-Registerkarte aus.
Verwende deine Okta-Domain als Aussteller (Issuer)
. Beispiel: https://dev-12345678.okta.com
. Sobald du alle Felder ausgefüllt hast, klicke auf die Schaltfläche Speichern
, um die Connector-Einstellungen zu speichern.
Wenn der von dir angegebene Aussteller (Issuer)
-Link gültig ist, siehst du eine analysierte vollständige Liste der Okta IdP-Konfigurationen, die unter dem Aussteller (Issuer)
-Feld angezeigt wird.
Schritt 4: Zusätzliche Berechtigungen (Optional)
Verwende das Feld Scope
, um zusätzliche Berechtigungen zu deiner OAuth-Anfrage hinzuzufügen. Dadurch kannst du mehr Informationen vom Okta OAuth-Server anfordern. Bitte schaue in der Okta-Dokumentation nach, um mehr über die verfügbaren Berechtigungen zu erfahren.
Unabhängig von den benutzerdefinierten Berechtigungseinstellungen wird Logto immer die Berechtigungen openid
, profile
und email
an den Identitätsanbieter (IdP) senden. Dies stellt sicher, dass Logto die Identitätsinformationen und die E-Mail-Adresse des Benutzers ordnungsgemäß abrufen kann.
Schritt 5: E-Mail-Domains festlegen und den SSO-Connector aktivieren
Gib die E-Mail-Domains
deiner Organisation auf der SSO-Erfahrung
-Registerkarte des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.
Benutzer mit E-Mail-Adressen in den angegebenen Domains werden weitergeleitet, um deinen SSO-Connector als einzige Authentifizierungsmethode zu verwenden.
Für weitere Details zur Erstellung einer OIDC-Integration mit Okta, siehe bitte Create OIDC App Integrations.