Zum Hauptinhalt springen

Single Sign-On mit SAML einrichten

Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit jedem SAML-basierten Identitätsanbieter (IdP).

tipp:

Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.

Schritt 1: Erstelle eine SAML SSO-Anwendung auf deinem IdP

Starte die SAML SSO-Integration, indem du eine Anwendung auf der IdP-Seite erstellst. Erhalte die folgenden Konfigurationen von Logto, die deinen Service Provider (SP) darstellen:

  • Zielgruppen-URI (SP Entity ID): Sie stellt einen global eindeutigen Identifikator für deinen Logto-Dienst dar und fungiert als EntityId für SP während Authentifizierungsanfragen an den IdP. Dieser Identifikator ist entscheidend für den sicheren Austausch von SAML-Assertions und anderen authentifizierungsbezogenen Daten zwischen dem IdP und Logto.
  • ACS-URL: Die Assertion Consumer Service (ACS) URL ist der Ort, an den die SAML-Assertion mit einer POST-Anfrage gesendet wird. Diese URL wird vom IdP verwendet, um die SAML-Assertion an Logto zu senden. Sie fungiert als Callback-URL, bei der Logto erwartet, die SAML-Antwort mit den Identitätsinformationen des Benutzers zu empfangen und zu verarbeiten.

Fülle die Konfigurationen für die Zielgruppen-URI und die ACS-URL in deiner IdP SAML-Anwendung aus und fahre fort, die folgenden Konfigurationen von deinem IdP abzurufen.

Schritt 2: Konfiguriere SAML SSO auf Logto

Um die SAML SSO-Integration zum Laufen zu bringen, musst du die IdP-Metadaten an Logto übermitteln. Die IdP-Metadaten sind ein XML-Dokument, das alle Informationen enthält, die Logto benötigt, um das Vertrauen mit dem IdP herzustellen.

Navigiere zum Tab Connection. Logto bietet drei verschiedene Möglichkeiten, die IdP-Metadaten zu konfigurieren:

  1. Metadata URL: Gib die URL des IdP-Metadaten-XML-Dokuments an. Logto ruft die Metadaten von der URL ab und konfiguriert die SAML SSO-Integration automatisch.
  2. Upload Metadata: Lade das IdP-Metadaten-XML-Dokument hoch. Logto wird das XML-Dokument analysieren und die SAML SSO-Integration automatisch konfigurieren.
  3. Manuelle Konfiguration: Konfiguriere die IdP-Metadaten manuell.
  • IdP-Entity-ID: Die Entity ID des IdP.
  • Single Sign-On URL: Die URL des IdP Single Sign-On-Dienstes.
  • Signaturzertifikat: Das x509-Zertifikat wird verwendet, um die Signatur der SAML-Antwort vom IdP zu überprüfen.

Mit einer der oben genannten Konfigurationen wird Logto die IdP-Metadaten analysieren und die SAML SSO-Integration entsprechend konfigurieren.

Schritt 3: Konfiguriere die Zuordnung von Benutzerattributen

Die vom Identitätsanbieter (IdP) zurückgegebenen Benutzerattribute können je nach IdP-Konfiguration variieren. Logto bietet eine flexible Möglichkeit, die vom IdP zurückgegebenen Benutzerattribute den Benutzerattributen in Logto zuzuordnen. Du kannst die Zuordnung der Benutzerattribute im SAML SSO-Integrations-Erfahrungstab konfigurieren.

  • id: Der eindeutige Identifikator des Benutzers. Logto liest den nameId-Anspruch aus der SAML-Antwort als die Benutzer-SSO-Identitäts-ID.
  • email: Die E-Mail-Adresse des Benutzers.
  • name: Der Name des Benutzers.

Schritt 4: Setze E-Mail-Domänen und aktiviere den SSO-Connector

Gib die E-Mail-Domains deiner Organisation im SSO-Erfahrung-Tab des Logto-Connectors an. Dadurch wird der SSO-Connector als Authentifizierungsmethode für diese Benutzer aktiviert.

Benutzer mit E-Mail-Adressen in den angegebenen Domains werden weitergeleitet, um den SAML SSO-Connector als einzige Authentifizierungsmethode zu verwenden.

SAML-Sicherheitsleitfaden