Aplicación de terceros (OAuth / OIDC)
La integración de aplicaciones de terceros de Logto te permite aprovechar Logto como un Proveedor de Identidad (IdP) para aplicaciones externas.
Un Proveedor de Identidad (IdP) es un servicio que verifica las identidades de los usuarios y gestiona sus credenciales de inicio de sesión. Después de confirmar la identidad de un usuario, el IdP genera tokens de autenticación o aserciones y permite al usuario acceder a varias aplicaciones o servicios sin necesidad de iniciar sesión nuevamente.
A diferencia de las aplicaciones que creaste en la guía Integra Logto en tu aplicación que son desarrolladas y totalmente controladas por ti, las aplicaciones de terceros son servicios independientes desarrollados por desarrolladores externos o socios comerciales.
Este enfoque de integración es ideal para escenarios empresariales comunes. Puedes permitir que los usuarios accedan a aplicaciones de socios usando sus cuentas de Logto, tal como los usuarios empresariales inician sesión en Slack con Google Workspace. También puedes construir una plataforma abierta donde las aplicaciones de terceros puedan añadir la funcionalidad "Iniciar sesión con Logto", similar a "Iniciar sesión con Google".
Logto es un servicio de identidad construido sobre el protocolo OpenID Connect (OIDC), proporcionando capacidades tanto de autenticación (Authentication) como de autorización (Authorization). Esto hace que integrar una aplicación de terceros OIDC sea tan sencillo como una aplicación web tradicional.
Así, debido a que OIDC se basa en OAuth 2.0 añadiendo una capa de autenticación, también puedes integrar aplicaciones de terceros utilizando el protocolo OAuth.
Crear una aplicación de terceros en Logto
- Ve a Consola > Aplicaciones
- Selecciona "Aplicación de terceros" como el tipo de aplicación y elige uno de los siguientes protocolos de integración:
- OIDC / OAuth
- Ingresa un nombre y una descripción para tu aplicación y haz clic en el botón “Crear”. Se creará una nueva aplicación de terceros.
Todas las aplicaciones de terceros creadas se catalogarán en la página de Aplicaciones bajo la pestaña "Aplicaciones de terceros". Esta organización te ayuda a distinguirlas de tus propias aplicaciones, facilitando la gestión de todas tus aplicaciones en un solo lugar.
Configura las configuraciones OIDC
Antes de configurar las opciones de OIDC, asegúrate de haber creado una aplicación de terceros OIDC.
-
Proporciona la URI de redirección de tu aplicación de terceros OIDC. Esta es la URL a la que la aplicación de terceros redirigirá a los usuarios después de que sean autenticados por Logto. Normalmente puedes encontrar esta información en la página de configuración de conexión IdP de la aplicación de terceros.
-
Recupera el ID de cliente y el secreto de cliente desde la página de detalles de la aplicación Logto e ingrésalos en la página de configuración de conexión IdP de tu proveedor de servicios.
-
Recupera el endpoint de autorización y el endpoint de token desde la página de detalles de la aplicación Logto y proporciónalos a tu proveedor de servicios. Si tu proveedor de servicios admite la detección OIDC, simplemente puedes copiar el endpoint de descubrimiento desde la página de detalles de la aplicación Logto y proporcionárselo a tu proveedor de servicios. El proveedor de servicios podrá recuperar automáticamente toda la información de autenticación OIDC actualizada desde el endpoint de descubrimiento. De lo contrario, haz clic en el botón Mostrar detalles de endpoints para ver todos los endpoints de autenticación OIDC.
Pantalla de consentimiento para aplicaciones de terceros OIDC
Por razones de seguridad, todas las aplicaciones de terceros OIDC serán redirigidas a una pantalla de consentimiento (Consent screen) para la autorización del usuario después de ser autenticadas por Logto.
Todos los permisos de perfil de usuario solicitados por terceros, alcances de recursos de API, permisos de organización e información de membresía de la organización se mostrarán en la pantalla de consentimiento.
Estos permisos solicitados solo se otorgarán a las aplicaciones de terceros después de que el usuario haga clic en el botón "Autorizar".
Acciones adicionales
Aprende cómo gestionar los permisos para tu aplicación de terceros OIDC.
Personaliza la apariencia de la pantalla de consentimiento para que coincida con la identidad de tu marca y proporciona una experiencia de usuario coherente.
Preguntas frecuentes
¿Cómo aseguramos que los usuarios solo puedan otorgar permisos que realmente tienen en la pantalla de consentimiento?
Logto utiliza el Control de acceso basado en roles (RBAC) para gestionar los permisos de los usuarios. En la pantalla de consentimiento, solo se mostrarán los alcances (permisos) que ya han sido asignados al usuario, a través de sus roles. Si una aplicación de terceros solicita alcances que el usuario no tiene, estos serán excluidos para evitar consentimientos no autorizados.
Para gestionar esto:
- Define roles globales o roles de organización con alcances específicos.
- Asigna roles a los usuarios según sus necesidades de acceso.
- Los usuarios heredarán automáticamente los alcances de sus roles.
Recursos relacionados
Caso de uso: Integra Apache Answer para lanzar una comunidad para tus usuarios
Usando Logto como proveedor de identidad de terceros (IdP)