Configurer l’authentification unique avec OpenID Connect (OIDC)
Avec un minimum d'efforts de configuration, ce connecteur permet l'intégration avec tout fournisseur d’identité (IdP) basé sur OIDC.
Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.
Étape 1 : Créer une application OIDC sur votre IdP
Initiez l'intégration SSO OIDC en créant une application du côté de l'IdP. Vous devrez fournir les configurations suivantes depuis le serveur Logto.
- Callback URI : L'URI de rappel Logto, également connu sous le nom de Redirect URI ou Reply URL, est un point de terminaison ou une URL spécifique que l'IdP utilise pour rediriger le navigateur de l'utilisateur après une authentification réussie. Après qu'un utilisateur s'est authentifié avec succès auprès de l'IdP, l'IdP redirige le navigateur de l'utilisateur vers cet URI désigné avec un code d’autorisation. Logto complétera le processus d'authentification basé sur le code d’autorisation reçu de cet URI.
Remplissez l'URI de rappel Logto dans le formulaire de paramètres de votre application OIDC IdP et continuez à créer l'application. (La plupart des IdP OIDC offrent un large éventail de types d'applications parmi lesquels choisir. Pour créer un connecteur SSO basé sur le web sur Logto, veuillez choisir le type Web Application.)
Étape 2 : Configurer le SSO OIDC sur Logto
Après avoir créé avec succès une application OIDC du côté de l'IdP, vous devrez fournir les configurations de l'IdP à Logto. Accédez à l'onglet Connection, et remplissez les configurations suivantes :
- Client ID : Un identifiant unique attribué à votre application OIDC par l'IdP. Cet identifiant est utilisé par Logto pour identifier et authentifier l'application pendant le flux OIDC.
- Client Secret : Un secret confidentiel partagé entre Logto et l'IdP. Ce secret est utilisé pour authentifier l'application OIDC et sécuriser la communication entre Logto et l'IdP.
- Émetteur : L'URL de l'émetteur, un identifiant unique pour l'IdP, spécifiant l'emplacement où le fournisseur d’identité OIDC peut être trouvé. C'est une partie cruciale de la configuration OIDC car elle aide Logto à découvrir les points de terminaison nécessaires. Pour faciliter le processus de configuration, Logto récupérera automatiquement les points de terminaison et configurations OIDC requis. Cela se fait en utilisant l'émetteur que vous avez fourni et en appelant les points de terminaison de découverte OIDC de l'IdP. Il est impératif de s'assurer que le point de terminaison de l'émetteur est valide et correctement configuré pour permettre à Logto de récupérer correctement les informations requises. Après une requête de récupération réussie, vous devriez pouvoir voir les configurations IdP analysées sous la section des émetteurs.
- Portée : Une liste de chaînes séparées par des espaces définissant les permissions ou niveaux d'accès souhaités demandés par Logto pendant le processus d'authentification OIDC. Le paramètre de portée vous permet de spécifier quelles informations et accès Logto demande à l'IdP.
Le paramètre de portée est optionnel. Indépendamment des paramètres de portée personnalisés, Logto enverra toujours les portées
openid,profileetemailà l'IdP. Cela garantit que Logto peut récupérer correctement les informations d'identité et l'adresse e-mail de l'utilisateur auprès de l'IdP. Vous pouvez ajouter des portées supplémentaires au paramètre de portée pour demander plus d'informations à l'IdP.
Étape 3 : Définir les domaines de messagerie et activer le connecteur SSO
Fournissez les domaines de messagerie de votre organisation dans l'onglet SSO experience du connecteur de Logto. Cela activera le connecteur SSO comme méthode d'authentification pour ces utilisateurs.
Les utilisateurs avec des adresses e-mail dans les domaines spécifiés seront redirigés pour utiliser votre connecteur SSO comme leur seule méthode d'authentification.