Saltar al contenido principal

Configuración básica de integración SAML

Esta guía te ayudará a configurar tu aplicación SAML en Logto. Sigue estos pasos para configurar la integración básica de SAML.

Configuración de la aplicación

Información básica

  • Nombre de la aplicación (Requerido): Ingresa un nombre para tu aplicación SAML. Este nombre te ayudará a identificar la aplicación en Logto.
  • Descripción: Añade una descripción opcional para proporcionar más detalles sobre tu aplicación.

Configuración del proveedor de servicios SAML

  • URL del servicio consumidor de aserciones (URL de respuesta) (Requerido): Ingresa la URL donde Logto debe enviar la aserción SAML después de una autenticación exitosa. Esta URL debe coincidir con la URL ACS proporcionada en tu aplicación del Proveedor de Servicios (SP).

  • ID de entidad del Proveedor de Servicios (SP) (Requerido): Ingresa el identificador único para tu Proveedor de Servicios. Este valor debe coincidir con el ID de entidad encontrado en tu aplicación SP. El ID de entidad SP es una entrada de cadena que típicamente sigue un formato URI (pero no es necesario).

    • Los formatos comunes incluyen:
      • urn:your-domain.com:sp:saml:{serviceProviderId}
      • https://your-domain/saml/{serviceProviderId}

Metadatos de IdP SAML

Después de configurar los ajustes básicos, Logto te proporcionará importantes metadatos del Proveedor de Identidad SAML (IdP) que necesitarás configurar en tu Proveedor de Servicios:

URL de metadatos de IdP

Usa esta URL para configurar tu SP con los metadatos de IdP. Los metadatos contienen toda la información necesaria para la integración SAML.

URL del servicio de inicio de sesión único

Esta es la URL donde tu SP debe enviar solicitudes de autenticación SAML.

ID de entidad de IdP

El identificador único para el Proveedor de Identidad.

nota:

La "URL del servicio de inicio de sesión único" y el "ID de entidad de IdP" ya se han incluido en los metadatos de IdP, por lo que no necesitas configurarlos por separado si tu SP puede manejar la URL de metadatos.

Certificado de firma SAML

Logto utiliza este certificado para firmar las aserciones SAML. Necesitarás configurarlo en tu SP para verificar las firmas:

  • Expira el: La fecha de expiración del certificado
  • Huella digital: La huella digital única del certificado para verificación
  • Estado: El estado actual del certificado (Activo o Inactivo)

Certificados de aplicación SAML

Reglas importantes de gestión de certificados:
  • Solo un certificado puede estar activo a la vez. El certificado activo se usará en la URL de metadatos de IdP.
  • La URL de metadatos de IdP no estará disponible si no hay un certificado activo.
  • No puedes eliminar un certificado activo. Para eliminar un certificado, primero debes desactivarlo.
  • Cuando activas un certificado inactivo, el certificado actualmente activo se desactivará automáticamente.

Configuraciones adicionales

Formato de ID de nombre

Selecciona cómo deseas que se formatee el identificador de usuario en la aserción SAML. El valor predeterminado es "Persistente", que utiliza el ID de usuario de Logto como el ID de nombre.

Formato de ID de nombre SAML

Puedes encontrar que hay cuatro formatos disponibles proporcionados por Logto:

  • Persistente (Usar ID de usuario de Logto como ID de nombre): Crea un identificador permanente, no reutilizable, que permanece consistente a través de las sesiones. Esto es ideal para mantener una identidad de usuario estable a través de múltiples inicios de sesión y se recomienda para la mayoría de las aplicaciones empresariales.

  • Dirección de correo electrónico (Usar dirección de correo electrónico como ID de nombre): Utiliza la dirección de correo electrónico del usuario como el identificador. Esto es útil cuando tu Proveedor de Servicios depende de direcciones de correo electrónico para la identificación del usuario o cuando necesitas identificadores legibles por humanos.

  • Transitorio (Usar ID de usuario de una sola vez como ID de nombre): Genera un identificador temporal, de una sola vez, que cambia con cada solicitud de autenticación. Esto proporciona una mayor privacidad y es adecuado para aplicaciones donde no se desea un seguimiento persistente del usuario.

  • No especificado (Usar ID de usuario de Logto como ID de nombre por ahora): Similar al formato Persistente pero indica que no se requiere un formato específico. Esto ofrece flexibilidad mientras se sigue utilizando el ID de usuario estable de Logto como el identificador.

Encriptar aserción SAML

Activa esta opción si deseas encriptar la aserción SAML para una mayor seguridad. Cuando está habilitada, la aserción SAML se encriptará antes de ser enviada a tu SP.

Encriptación de aserción SAML

nota:

Cuando habilitas la encriptación de aserción SAML, debes proporcionar el certificado de firma de tu Proveedor de Servicios. Este certificado se usará para encriptar la aserción SAML, asegurando que solo tu SP pueda desencriptar y leer el contenido de la aserción.