Pular para o conteúdo principal

Configuração básica de integração SAML

Este guia ajudará você a configurar seu aplicativo SAML no Logto. Siga estas etapas para configurar a integração básica do SAML.

Configurações do aplicativo

Informações básicas

  • Nome do aplicativo (Obrigatório): Insira um nome para seu aplicativo SAML. Este nome ajudará você a identificar o aplicativo no Logto.
  • Descrição: Adicione uma descrição opcional para fornecer mais detalhes sobre seu aplicativo.

Configuração do provedor de serviços SAML

  • URL do serviço consumidor de asserção (URL de resposta) (Obrigatório): Insira o URL para onde o Logto deve enviar a asserção SAML após a autenticação bem-sucedida. Este URL deve corresponder ao URL ACS fornecido em seu aplicativo Provedor de Serviços (SP).

  • ID da Entidade do Provedor de Serviços (SP) (Obrigatório): Insira o identificador único para seu Provedor de Serviços. Este valor deve corresponder ao ID da Entidade encontrado em seu aplicativo SP. O ID da Entidade do SP é uma entrada de string que normalmente segue um formato de URI (mas não é necessário).

    • Formatos comuns incluem:
      • urn:your-domain.com:sp:saml:{serviceProviderId}
      • https://your-domain/saml/{serviceProviderId}

Metadados do IdP SAML

Após configurar as configurações básicas, o Logto fornecerá a você metadados importantes do Provedor de Identidade (IdP) SAML que você precisará configurar em seu Provedor de Serviços:

URL dos metadados do IdP

Use este URL para configurar seu SP com os metadados do IdP. Os metadados contêm todas as informações necessárias para a integração SAML.

URL do serviço de autenticação única

Este é o URL para onde seu SP deve enviar solicitações de autenticação SAML.

ID da entidade do IdP

O identificador único para o Provedor de Identidade.

nota:

"URL do serviço de autenticação única" e "ID da entidade do IdP" já foram incluídos nos metadados do IdP, então você não precisa configurá-los separadamente se seu SP puder lidar com o URL dos metadados.

Certificado de assinatura SAML

O Logto usa este certificado para assinar asserções SAML. Você precisará configurá-lo em seu SP para verificar as assinaturas:

  • Expira em: A data de expiração do certificado
  • Impressão digital: A impressão digital única do certificado para verificação
  • Status: O status atual do certificado (Ativo ou Inativo)

Certificados de aplicativo SAML

Regras importantes de gerenciamento de certificados:
  • Apenas um certificado pode estar ativo por vez. O certificado ativo será usado no URL dos metadados do IdP.
  • O URL dos metadados do IdP não estará disponível se não houver um certificado ativo.
  • Você não pode excluir um certificado ativo. Para excluir um certificado, você deve primeiro desativá-lo.
  • Quando você ativa um certificado inativo, o certificado atualmente ativo será automaticamente desativado.

Configurações adicionais

Formato do ID do nome

Selecione como você deseja que o identificador do usuário seja formatado na asserção SAML. O padrão é "Persistente", que usa o ID do usuário do Logto como o ID do Nome.

Formato do ID do nome SAML

Você pode encontrar quatro formatos disponíveis fornecidos pelo Logto:

  • Persistente (Usar ID do usuário do Logto como ID do Nome): Cria um identificador permanente e não reutilizável que permanece consistente entre as sessões. Isso é ideal para manter uma identidade de usuário estável em múltiplos logins e é recomendado para a maioria dos aplicativos empresariais.

  • Endereço de email (Usar endereço de email como ID do Nome): Usa o endereço de email do usuário como o identificador. Isso é útil quando seu Provedor de Serviços depende de endereços de email para identificação de usuários ou quando você precisa de identificadores legíveis por humanos.

  • Transiente (Usar ID de usuário único como ID do Nome): Gera um identificador temporário e único que muda a cada solicitação de autenticação. Isso proporciona maior privacidade e é adequado para aplicativos onde o rastreamento persistente do usuário não é desejado.

  • Não especificado (Usar ID do usuário do Logto como ID do Nome por enquanto): Semelhante ao formato Persistente, mas indica que nenhum formato específico é necessário. Isso oferece flexibilidade enquanto ainda usa o ID do usuário do Logto como o identificador.

Criptografar asserção SAML

Ative esta opção se você deseja criptografar a asserção SAML para maior segurança. Quando ativado, a asserção SAML será criptografada antes de ser enviada para seu SP.

Criptografia de asserção SAML

nota:

Quando você habilita a criptografia de asserção SAML, deve fornecer o certificado de assinatura do seu Provedor de Serviços. Este certificado será usado para criptografar a asserção SAML, garantindo que apenas seu SP possa descriptografar e ler o conteúdo da asserção.