Configurer l’authentification unique avec Microsoft Entra ID (OIDC)

Avec un minimum d'efforts de configuration, ce connecteur permet l'intégration avec Microsoft Entra ID (anciennement Azure AD) pour le SSO d'entreprise.

astuce

Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.

Étape 1 : Créer une application Microsoft Entra ID OIDC

1. Accédez au centre d'administration Microsoft Entra et connectez-vous en tant qu'administrateur.

2. Accédez à Identity > Applications > App registrations.

3. Sélectionnez New registration.

4. Entrez le nom de l'application et sélectionnez le type de compte approprié pour votre application.

5. Sélectionnez Web comme plateforme de l'application.

6. Copiez et collez l'URI de redirection depuis la page des paramètres SSO de Logto. L'URI de redirection est l'URL où l'utilisateur est redirigé après s'être authentifié avec Microsoft Entra ID.

6. Cliquez sur Register pour créer l'application.

Étape 2 : Configurer Microsoft Entra ID OIDC SSO sur Logto

Après avoir créé avec succès une application Microsoft Entra OIDC, vous devrez fournir les configurations IdP à Logto. Accédez à l'onglet Connection dans la Console Logto et remplissez les configurations suivantes :

1. Client ID : Un identifiant unique attribué à votre application OIDC par Microsoft Entra. Cet identifiant est utilisé par Logto pour identifier et authentifier l'application pendant le flux OIDC. Vous pouvez le trouver dans la page de présentation de l'application sous Application (client) ID.

2. Client Secret : Créez un nouveau secret client et copiez la valeur dans Logto. Ce secret est utilisé pour authentifier l'application OIDC et sécuriser la communication entre Logto et l'IdP.

3. Émetteur : L'URL de l'émetteur, un identifiant unique pour l'IdP, spécifiant l'emplacement où le fournisseur d'identité OIDC peut être trouvé. C'est une partie cruciale de la configuration OIDC car elle aide Logto à découvrir les points de terminaison nécessaires.

   Au lieu de fournir manuellement tous ces points de terminaison OIDC, Logto récupère automatiquement toutes les configurations requises et les points de terminaison IdP. Cela se fait en utilisant l'URL de l'émetteur que vous avez fournie et en appelant le point de terminaison de découverte de l'IdP.

   Pour obtenir l'URL de l'émetteur, vous pouvez la trouver dans la section Endpoints de la page de présentation de l'application.

   Localisez le point de terminaison OpenID Connect metadata document et copiez l'URL SANS le chemin final .well-known/openid-configuration. Cela est dû au fait que Logto ajoutera automatiquement .well-known/openid-configuration à l'URL de l'émetteur lors de la récupération des configurations OIDC.

4. Portée : Une liste de chaînes séparées par des espaces définissant les permissions ou niveaux d'accès souhaités demandés par Logto lors du processus d'authentification OIDC. Le paramètre de portée vous permet de spécifier quelles informations et accès Logto demande à l'IdP.

Le paramètre de portée est facultatif. Indépendamment des paramètres de portée personnalisés, Logto enverra toujours les portées openid, profile et email à l'IdP.

Cliquez sur Save pour terminer le processus de configuration.

Étape 3 : Définir les domaines de messagerie et activer le connecteur SSO

Fournissez les domaines de messagerie de votre organisation dans l'onglet experience du connecteur. Cela activera le connecteur SSO comme méthode d'authentification pour ces utilisateurs.

Les utilisateurs avec des adresses e-mail dans les domaines spécifiés seront exclusivement limités à utiliser votre connecteur SSO comme seule méthode d'authentification.