Single Sign-On mit SAML einrichten
Mit minimalem Konfigurationsaufwand ermöglicht dieser Connector die Integration mit jedem SAML-basierten Identitätsanbieter (IdP).
Für weitere Informationen über SSO und wie man SSO in Logto konfiguriert, schaue bitte in der Enterprise SSO (SAML & OIDC) Dokumentation nach, um loszulegen.
Schritt 1: Erstelle eine SAML SSO-Anwendung auf deinem IdP
Beginne die SAML SSO-Integration, indem du eine Anwendung auf der IdP-Seite erstellst. Erhalte die folgenden Konfigurationen von Logto, die deinen Service Provider (SP) darstellen:
- Zielgruppen-URI (SP Entity ID): Sie stellt einen weltweit eindeutigen Bezeichner für deinen Logto-Dienst dar und fungiert als EntityId für den SP während Authentifizierungsanfragen an den IdP. Dieser Bezeichner ist entscheidend für den sicheren Austausch von SAML-Aussagen und anderen authentifizierungsbezogenen Daten zwischen dem IdP und Logto.
- ACS URL: Die Assertion Consumer Service (ACS) URL ist der Ort, an den die SAML-Aussage mit einer POST-Anfrage gesendet wird. Diese URL wird vom IdP verwendet, um die SAML-Aussage an Logto zu senden. Sie fungiert als Rückruf-URL, bei der Logto erwartet, die SAML-Antwort mit den Identitätsinformationen des Benutzers zu erhalten und zu verarbeiten.
Fülle die Konfigurationen für die Zielgruppen-URI und die ACS URL in deiner IdP SAML-Anwendung aus und fahre fort, die folgenden Konfigurationen von deinem IdP abzurufen.
Schritt 2: Konfiguriere SAML SSO auf Logto
Um die SAML SSO-Integration zum Laufen zu bringen, musst du die IdP-Metadaten an Logto übermitteln. Die IdP-Metadaten sind ein XML-Dokument, das alle Informationen enthält, die Logto benötigt, um das Vertrauen mit dem IdP herzustellen.
Navigiere zum Tab Connection. Logto bietet drei verschiedene Möglichkeiten, die IdP-Metadaten zu konfigurieren:
- Metadaten-URL: Gib die URL des IdP-Metadaten-XML-Dokuments an. Logto wird die Metadaten von der URL abrufen und die SAML SSO-Integration automatisch konfigurieren.
- Metadaten hochladen: Lade das IdP-Metadaten-XML-Dokument hoch. Logto wird das XML-Dokument analysieren und die SAML SSO-Integration automatisch konfigurieren.
- Manuelle Konfiguration: Konfiguriere die IdP-Metadaten manuell.
- IdP Entity ID: Die Entity ID des IdP.
- Single Sign-On URL: Die URL des IdP Single Sign-On-Dienstes.
- Signaturzertifikat: Das x509-Zertifikat wird verwendet, um die Signatur der SAML-Antwort vom IdP zu überprüfen.
Mit einer der oben genannten Konfigurationen wird Logto die IdP-Metadaten analysieren und die SAML SSO-Integration entsprechend konfigurieren.
Schritt 3: Konfiguriere die Zuordnung der Benutzerattribute
Die von IdP zurückgegebenen Benutzerattribute können je nach IdP-Konfiguration variieren. Logto bietet eine flexible Möglichkeit, die von IdP zurückgegebenen Benutzerattribute den Benutzerattributen in Logto zuzuordnen. Du kannst die Zuordnung der Benutzerattribute im Tab der SAML SSO-Integrationserfahrung konfigurieren.
- id: Der eindeutige Bezeichner des Benutzers. Logto wird den
nameIdAnspruch aus der SAML-Antwort als Benutzer-SSO-Identitäts-ID lesen. - email: Die E-Mail-Adresse des Benutzers.
- name: Der Name des Benutzers.
Schritt 4: E-Mail-Domänen festlegen und den SSO-Connector aktivieren
Gib die E-Mail-Domänen deiner Organisation im Tab SSO-Erfahrung des Logto-Connectors an. Dies wird den SSO-Connector als Authentifizierungsmethode für diese Benutzer aktivieren.
Benutzer mit E-Mail-Adressen in den angegebenen Domänen werden zur Nutzung des SAML SSO-Connectors als einzige Authentifizierungsmethode weitergeleitet.