Configurer l’authentification unique avec SAML
Avec un minimum d'efforts de configuration, ce connecteur permet l'intégration avec tout fournisseur d'identité (IdP) basé sur SAML.
Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.
Étape 1 : Créer une application SAML SSO sur votre IdP
Initiez l'intégration SAML SSO en créant une application du côté de l'IdP. Obtenez les configurations suivantes de Logto, représentant votre fournisseur de services (SP) :
- URI d'audience (ID d'entité SP) : Il représente un identifiant unique global pour votre service Logto, fonctionnant comme l'EntityId pour le SP lors des requêtes d’authentification à l'IdP. Cet identifiant est essentiel pour l'échange sécurisé des assertions SAML et d'autres données liées à l'authentification entre l'IdP et Logto.
- URL ACS : L'URL du service consommateur d'assertions (ACS) est l'endroit où l'assertion SAML est envoyée avec une requête POST. Cette URL est utilisée par l'IdP pour envoyer l'assertion SAML à Logto. Elle agit comme une URL de rappel où Logto s'attend à recevoir et consommer la réponse SAML contenant les informations d'identité de l'utilisateur.
Remplissez les configurations URI d'audience et URL ACS dans votre application SAML IdP et continuez à récupérer les configurations suivantes de votre IdP.
Étape 2 : Configurer SAML SSO sur Logto
Pour que l'intégration SAML SSO fonctionne, vous devrez fournir les métadonnées de l'IdP à Logto. Les métadonnées de l'IdP sont un document XML qui contient toutes les informations nécessaires pour que Logto établisse la confiance avec l'IdP.
Accédez à l'onglet Connection
. Logto propose trois manières différentes de configurer les métadonnées de l'IdP :
- URL des métadonnées : Fournissez l'URL du document XML des métadonnées de l'IdP. Logto récupérera les métadonnées à partir de l'URL et configurera automatiquement l'intégration SAML SSO.
- Télécharger les métadonnées : Téléchargez le document XML des métadonnées de l'IdP. Logto analysera le document XML et configurera automatiquement l'intégration SAML SSO.
- Configuration manuelle : Configurez manuellement les métadonnées de l'IdP.
- ID d'entité IdP : L'ID d'entité de l'IdP.
- URL d'authentification unique : L'URL du service d'authentification unique de l'IdP.
- Certificat de signature : Le certificat x509 est utilisé pour vérifier la signature de la réponse SAML de l'IdP.
Avec l'une des configurations ci-dessus, Logto analysera les métadonnées de l'IdP et configurera l'intégration SAML SSO en conséquence.
Étape 3 : Configurer le mapping des attributs utilisateur
Les attributs utilisateur retournés par l'IdP peuvent varier en fonction de la configuration de l'IdP. Logto offre un moyen flexible de mapper les attributs utilisateur retournés par l'IdP aux attributs utilisateur dans Logto. Vous pouvez configurer le mapping des attributs utilisateur dans l'onglet d'expérience d'intégration SAML SSO.
- id : L'identifiant unique de l'utilisateur. Logto lira la revendication
nameId
de la réponse SAML comme identifiant d'identité SSO de l'utilisateur. - email : L'adresse e-mail de l'utilisateur.
- name : Le nom de l'utilisateur.
Étape 4 : Définir les domaines de messagerie et activer le connecteur SSO
Fournissez les domaines de messagerie
de votre organisation dans l'onglet Expérience SSO
du connecteur de Logto. Cela activera le connecteur SSO comme méthode d'authentification pour ces utilisateurs.
Les utilisateurs avec des adresses e-mail dans les domaines spécifiés seront redirigés pour utiliser le connecteur SAML SSO comme leur seule méthode d'authentification.