Saltar al contenido principal

Configura el inicio de sesión único con OpenID Connect (OIDC) (Set up Single Sign-On with OpenID Connect (OIDC))

Con un esfuerzo mínimo de configuración, este conector permite la integración con cualquier proveedor de identidad (IdP) basado en OIDC.

tip:

Para obtener más información sobre SSO y cómo configurar SSO en Logto, por favor consulta la documentación de SSO empresarial (SAML & OIDC) para comenzar.

Paso 1: Crea una aplicación OIDC en tu IdP

Inicia la integración de OIDC SSO creando una aplicación en el lado del proveedor de identidad (IdP). Necesitarás proporcionar las siguientes configuraciones desde el servidor de Logto.

  • URI de Callback: El URI de Callback de Logto, también conocido como URI de Redirección o URL de Respuesta, es un endpoint o URL específico que el IdP utiliza para redirigir el navegador del usuario después de una autenticación exitosa. Después de que un usuario se autentica exitosamente con el IdP, el IdP redirige el navegador del usuario de vuelta a este URI designado junto con un código de autorización. Logto completará el proceso de autenticación basado en el código de autorización recibido de este URI.

Rellena el URI de Callback de Logto en el formulario de configuración de la aplicación OIDC de tu IdP y continúa creando la aplicación. (La mayoría de los IdPs de OIDC ofrecen una amplia gama de tipos de aplicaciones para elegir. Para crear un conector de SSO basado en web en Logto, por favor elige el tipo Web Application.)

Paso 2: Configura el SSO OIDC en Logto

Después de crear exitosamente una aplicación OIDC en el lado del proveedor de identidad (IdP), deberás proporcionar las configuraciones del IdP de vuelta a Logto. Navega a la pestaña Connection y completa las siguientes configuraciones:

  • Client ID: Un identificador único asignado a tu aplicación OIDC por el IdP. Este identificador es utilizado por Logto para identificar y autenticar la aplicación durante el flujo OIDC.
  • Client Secret: Un secreto confidencial compartido entre Logto y el IdP. Este secreto se utiliza para autenticar la aplicación OIDC y asegurar la comunicación entre Logto y el IdP.
  • Emisor (Issuer): La URL del emisor, un identificador único para el IdP, que especifica la ubicación donde se puede encontrar el proveedor de identidad OIDC. Es una parte crucial de la configuración OIDC, ya que ayuda a Logto a descubrir los endpoints necesarios. Para facilitar el proceso de configuración, Logto obtendrá automáticamente los endpoints y configuraciones OIDC requeridos. Esto se realiza utilizando el emisor que proporcionaste y haciendo una llamada a los endpoints de descubrimiento OIDC del IdP. Es imprescindible asegurarse de que el endpoint del emisor sea válido y esté configurado correctamente para permitir que Logto recupere la información necesaria de manera correcta. Después de una solicitud de obtención exitosa, deberías poder ver las configuraciones del IdP analizadas en la sección de emisores.

Paso 3: Configura alcances (opcional) (Configure scopes (Optional))

Los alcances (Scopes) definen los permisos que tu aplicación solicita a los usuarios y controlan a qué datos puede acceder tu aplicación desde sus cuentas empresariales.

Configurar los alcances requiere ajustes en ambos lados:

  1. Tu proveedor de identidad (IdP) (Identity Provider): Configura qué permisos están permitidos para la autorización en la consola de tu IdP
    • Algunos IdP habilitan todos los alcances públicos por defecto (no se requiere acción)
    • Otros requieren que otorgues permisos explícitamente
  2. Conector empresarial de Logto: Especifica qué alcances solicitar durante la autenticación en la configuración del conector empresarial OIDC de Logto > campo Scopes.
    • Logto siempre incluye los alcances openid, profile y email para recuperar información básica de identidad del usuario, independientemente de tus configuraciones personalizadas de alcance.
    • Puedes añadir alcances adicionales (separados por espacios) para solicitar más información al IdP.
tip:

Si tu aplicación necesita acceder a APIs utilizando estos alcances, asegúrate de habilitar Almacenar tokens para acceso persistente a la API en tu conector empresarial de Logto. Consulta la siguiente sección para más detalles.

Paso 4: Almacena tokens para acceder a APIs de terceros (opcional) (Store tokens to access third-party APIs (Optional))

Si deseas acceder a las API del Proveedor de Identidad (Identity Provider) y realizar acciones con autorización del usuario, Logto necesita obtener alcances (scopes) específicos de API y almacenar tokens.

  1. Añade los alcances requeridos en el campo scope siguiendo las instrucciones anteriores.
  2. Activa Almacenar tokens para acceso persistente a la API en el conector empresarial OIDC de Logto. Logto almacenará de forma segura los tokens de acceso (access tokens) en el Secret Vault.
  3. Para los proveedores de identidad OIDC estándar, el alcance offline_access debe ser incluido para obtener un token de actualización (refresh token), evitando así solicitudes repetidas de consentimiento del usuario.

Paso 5: Establece dominios de correo electrónico y habilita el conector SSO (Set email domains and enable the SSO connector)

Proporciona los dominios de correo electrónico de tu organización en la pestaña de experiencia SSO del conector de Logto. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados serán redirigidos para usar tu conector SSO como su único método de autenticación.