Aller au contenu principal

Configurer l’authentification unique avec OpenID Connect (OIDC)

Avec un minimum de configuration, ce connecteur permet l’intégration avec n’importe quel fournisseur d’identité (IdP) basé sur OIDC.

astuce:

Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.

Étape 1 : Créer une application OIDC sur votre IdP

Initiez l'intégration OIDC SSO en créant une application du côté du fournisseur d'identité (IdP). Vous devrez fournir les configurations suivantes depuis le serveur Logto.

  • URI de rappel : L'URI de rappel Logto, également connu sous le nom d'URI de redirection ou URL de réponse, est un point de terminaison ou une URL spécifique que l'IdP utilise pour rediriger le navigateur de l'utilisateur après une authentification réussie. Après qu'un utilisateur s'est authentifié avec succès auprès de l'IdP, l'IdP redirige le navigateur de l'utilisateur vers cet URI désigné avec un code d'autorisation. Logto complétera le processus d'authentification basé sur le code d'autorisation reçu de cet URI.

Remplissez l'URI de rappel Logto dans le formulaire de paramètres de l'application OIDC de votre IdP et continuez à créer l'application. (La plupart des IdP OIDC offrent un large éventail de types d'applications parmi lesquels choisir. Pour créer un connecteur SSO basé sur le web sur Logto, veuillez choisir le type Web Application.)

Étape 2 : Configurer le SSO OIDC sur Logto

Après avoir créé avec succès une application OIDC du côté du fournisseur d’identité (IdP), vous devrez fournir les configurations de l’IdP à Logto. Accédez à l’onglet Connection et renseignez les configurations suivantes :

  • Client ID : Un identifiant unique attribué à votre application OIDC par l’IdP. Cet identifiant est utilisé par Logto pour identifier et authentifier l’application lors du flux OIDC.
  • Client Secret : Un secret confidentiel partagé entre Logto et l’IdP. Ce secret est utilisé pour authentifier l’application OIDC et sécuriser la communication entre Logto et l’IdP.
  • Émetteur (Issuer) : L’URL de l’émetteur, un identifiant unique pour l’IdP, spécifiant l’emplacement où le fournisseur d’identité OIDC peut être trouvé. Il s’agit d’une partie cruciale de la configuration OIDC car elle permet à Logto de découvrir les points de terminaison nécessaires. Pour faciliter le processus de configuration, Logto récupérera automatiquement les points de terminaison et configurations OIDC requis. Cela se fait en utilisant l’émetteur que vous avez fourni et en effectuant un appel aux points de terminaison de découverte OIDC de l’IdP. Il est impératif de s’assurer que le point de terminaison de l’émetteur est valide et correctement configuré afin de permettre à Logto de récupérer correctement les informations nécessaires. Après une requête de récupération réussie, vous devriez pouvoir voir les configurations IdP analysées dans la section des émetteurs.

Étape 3 : Configurer les portées (Optionnel)

Les portées (Scopes) définissent les permissions que votre application demande aux utilisateurs et contrôlent à quelles données votre application peut accéder depuis leurs comptes d’entreprise.

La configuration des portées nécessite une configuration des deux côtés :

  1. Votre fournisseur d’identité (IdP) : Configurez quelles permissions sont autorisées pour l’autorisation dans la console de votre IdP
    • Certains IdP activent toutes les portées publiques par défaut (aucune action requise)
    • D’autres exigent que vous accordiez explicitement les permissions
  2. Connecteur d’entreprise Logto : Spécifiez quelles portées demander lors de l’authentification dans les paramètres du connecteur OIDC d’entreprise Logto > champ Scopes.
    • Logto inclut toujours les portées openid, profile et email pour récupérer les informations d’identité de base de l’utilisateur, indépendamment de vos paramètres de portées personnalisées.
    • Vous pouvez ajouter des portées supplémentaires (séparées par des espaces) pour demander plus d’informations au IdP.
astuce:

Si votre application doit accéder à des API en utilisant ces portées, assurez-vous d’activer Stocker les jetons pour un accès API persistant dans votre connecteur d’entreprise Logto. Voir la section suivante pour plus de détails.

Étape 4 : Stocker les jetons pour accéder aux API tierces (Optionnel)

Si vous souhaitez accéder aux API du fournisseur d’identité (Identity Provider) et effectuer des actions avec l’autorisation de l’utilisateur, Logto doit obtenir des portées API (Scopes) spécifiques et stocker les jetons.

  1. Ajoutez les portées requises dans le champ scope en suivant les instructions ci-dessus.
  2. Activez Stocker les jetons pour un accès API persistant dans le connecteur Logto OIDC d’entreprise. Logto stockera en toute sécurité les jetons d’accès dans le Secret Vault.
  3. Pour les fournisseurs d’identité OIDC standards, la portée offline_access doit être incluse pour obtenir un jeton de rafraîchissement (Refresh token), évitant ainsi de demander à plusieurs reprises le consentement de l’utilisateur.

Étape 5 : Définir les domaines e-mail et activer le connecteur SSO

Fournissez les domaines e-mail de votre organisation dans l’onglet Expérience SSO du connecteur Logto. Cela activera le connecteur SSO comme méthode d’authentification pour ces utilisateurs.

Les utilisateurs ayant des adresses e-mail dans les domaines spécifiés seront redirigés pour utiliser votre connecteur SSO comme seule méthode d’authentification.