Saltar al contenido principal

Configura el inicio de sesión único con Microsoft Entra ID (OIDC)

Con un mínimo esfuerzo de configuración, este conector permite la integración con Microsoft Entra ID (anteriormente Azure AD) para SSO empresarial.

tip

Para obtener más información sobre SSO y cómo configurar SSO en Logto, por favor consulta la documentación de SSO empresarial (SAML & OIDC) para comenzar.

Paso 1: Crear una aplicación OIDC de Microsoft Entra ID

  1. Ve al centro de administración de Microsoft Entra e inicia sesión como administrador.

  2. Navega a Identidad > Aplicaciones > Registros de aplicaciones.

Crear aplicación

  1. Selecciona Nuevo registro.

  2. Ingresa el nombre de la aplicación y selecciona el tipo de cuenta apropiado para tu aplicación.

  3. Selecciona Web como la plataforma de la aplicación.

  4. Copia y pega el redirect URI desde la página de configuración de SSO de Logto. El redirect URI es la URL a la que se redirige al usuario después de que se haya autenticado con Microsoft Entra ID.

Configurar aplicación
  1. Haz clic en Registrar para crear la aplicación.

Paso 2: Configurar Microsoft Entra ID OIDC SSO en Logto

Después de crear con éxito una aplicación OIDC de Microsoft Entra, deberás proporcionar las configuraciones del IdP de vuelta a Logto. Navega a la pestaña Connection en Logto Console y completa las siguientes configuraciones:

  1. Client ID: Un identificador único asignado a tu aplicación OIDC por Microsoft Entra. Este identificador es utilizado por Logto para identificar y autenticar la aplicación durante el flujo OIDC. Puedes encontrarlo en la página de resumen de la aplicación como Application (client) ID.
Detalles de la aplicación
  1. Client Secret: Crea un nuevo secreto de cliente y copia el valor a Logto. Este secreto se utiliza para autenticar la aplicación OIDC y asegurar la comunicación entre Logto y el IdP.
Crear secreto

  1. Emisor (Issuer): La URL del emisor, un identificador único para el IdP, que especifica la ubicación donde se puede encontrar el proveedor de identidad OIDC. Es una parte crucial de la configuración OIDC ya que ayuda a Logto a descubrir los endpoints necesarios.

    En lugar de proporcionar manualmente todos estos endpoints OIDC, Logto obtiene automáticamente todas las configuraciones requeridas y los endpoints del IdP. Esto se hace utilizando la URL del emisor que proporcionaste y haciendo una llamada al endpoint de descubrimiento del IdP.

    Para obtener la URL del emisor, puedes encontrarla en la sección Endpoints de la página de resumen de la aplicación.

    Localiza el endpoint del documento de metadatos de OpenID Connect y copia la URL SIN la ruta final .well-known/openid-configuration. Esto se debe a que Logto añadirá automáticamente .well-known/openid-configuration a la URL del emisor al obtener las configuraciones OIDC.

Endpoints
  1. Alcance (Scope): Una lista de cadenas separadas por espacios que define los permisos o niveles de acceso deseados solicitados por Logto durante el proceso de autenticación OIDC. El parámetro de alcance te permite especificar qué información y acceso está solicitando Logto del IdP.

El parámetro de alcance es opcional. Independientemente de la configuración de alcance personalizada, Logto siempre enviará los alcances openid, profile y email al IdP.

Haz clic en Guardar para finalizar el proceso de configuración.

Paso 3: Establecer dominios de correo electrónico y habilitar el conector SSO

Proporciona los dominios de correo electrónico de tu organización en la pestaña de experiencia del conector. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados estarán exclusivamente limitados a usar tu conector SSO como su único método de autenticación.