Saltar al contenido principal

Configura el inicio de sesión único con OpenID Connect (OIDC)

Con un mínimo esfuerzo de configuración, este conector permite la integración con cualquier Proveedor de Identidad (IdP) basado en OIDC.

tip

Para obtener más información sobre SSO y cómo configurar SSO en Logto, por favor consulta la documentación de SSO empresarial (SAML & OIDC) para comenzar.

Paso 1: Crea una aplicación OIDC en tu IdP

Inicia la integración de OIDC SSO creando una aplicación en el lado del IdP. Necesitarás proporcionar las siguientes configuraciones desde el servidor de Logto.

  • Callback URI: El Logto Callback URI, también conocido como Redirect URI o Reply URL, es un punto final o URL específico que el IdP utiliza para redirigir el navegador del usuario después de una autenticación exitosa. Después de que un usuario se autentica exitosamente con el IdP, el IdP redirige el navegador del usuario de vuelta a este URI designado junto con un código de autorización. Logto completará el proceso de autenticación basado en el código de autorización recibido de este URI.

Rellena el Logto Callback URI en el formulario de configuración de la aplicación OIDC de tu IdP y continúa para crear la aplicación. (La mayoría de los IdPs OIDC proporcionan una amplia gama de tipos de aplicaciones para elegir. Para crear un conector SSO basado en web en Logto, elige el tipo Web Application).

Paso 2: Configura OIDC SSO en Logto

Después de crear exitosamente una aplicación OIDC en el lado del IdP, necesitarás proporcionar las configuraciones del IdP de vuelta a Logto. Navega a la pestaña Connection y completa las siguientes configuraciones:

  • Client ID: Un identificador único asignado a tu aplicación OIDC por el IdP. Este identificador es utilizado por Logto para identificar y autenticar la aplicación durante el flujo OIDC.
  • Client Secret: Un secreto confidencial compartido entre Logto y el IdP. Este secreto se utiliza para autenticar la aplicación OIDC y asegurar la comunicación entre Logto y el IdP.
  • Emisor (Issuer): La URL del emisor, un identificador único para el IdP, que especifica la ubicación donde se puede encontrar el proveedor de identidad OIDC. Es una parte crucial de la configuración OIDC ya que ayuda a Logto a descubrir los puntos finales necesarios. Para facilitar el proceso de configuración, Logto obtendrá automáticamente los puntos finales y configuraciones OIDC requeridos. Esto se hace utilizando el emisor que proporcionaste y haciendo una llamada a los puntos finales de descubrimiento OIDC del IdP. Es imperativo asegurarse de que el punto final del emisor sea válido y esté configurado correctamente para permitir que Logto recupere la información requerida correctamente. Después de una solicitud de obtención exitosa, deberías poder ver las configuraciones del IdP analizadas en la sección de emisores.
  • Alcance (Scope): Una lista de cadenas separadas por espacios que definen los permisos o niveles de acceso deseados solicitados por Logto durante el proceso de autenticación OIDC. El parámetro de alcance te permite especificar qué información y acceso está solicitando Logto del IdP. El parámetro de alcance es opcional. Independientemente de la configuración de alcance personalizada, Logto siempre enviará los alcances openid, profile y email al IdP. Esto es para asegurar que Logto pueda recuperar la información de identidad del usuario y la dirección de correo electrónico correctamente del IdP. Puedes agregar alcances adicionales al parámetro de alcance para solicitar más información del IdP.

Paso 3: Establece dominios de correo electrónico y habilita el conector SSO

Proporciona los dominios de correo electrónico de tu organización en la pestaña SSO experience del conector de Logto. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados serán redirigidos para usar tu conector SSO como su único método de autenticación.