Pular para o conteúdo principal

README

Configurar Single Sign-On com Microsoft Entra ID (OIDC)

Com esforços mínimos de configuração, este conector permite a integração com o Microsoft Entra ID (anteriormente Azure AD) para SSO corporativo.

dica:

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Etapa 1: Criar um aplicativo Microsoft EntraID OIDC

  1. Vá para o Microsoft Entra admin center e faça login como administrador.

  2. Navegue até Identity > Applications > App registrations.

Criar Aplicativo
  1. Selecione New registration.

  2. Insira o nome do aplicativo e selecione o tipo de conta apropriado para seu aplicativo.

  3. Selecione Web como a plataforma do aplicativo.

  4. Copie e cole o redirect URI da página de configurações de SSO do Logto. O redirect URI é o URL para onde o usuário é redirecionado após se autenticar com o Microsoft Entra ID.

Configurar Aplicativo
  1. Clique em Register para criar o aplicativo.

Etapa 2: Configurar Microsoft Entra ID OIDC SSO no Logto

Após criar com sucesso um aplicativo Microsoft Entra OIDC, você precisará fornecer as configurações do IdP de volta para o Logto. Navegue até a aba Connection no Logto Console e preencha as seguintes configurações:

  1. Client ID: Um identificador único atribuído ao seu aplicativo OIDC pelo Microsoft Entra. Este identificador é usado pelo Logto para identificar e autenticar o aplicativo durante o fluxo OIDC. Você pode encontrá-lo na página de visão geral do aplicativo como Application (client) ID.
Detalhes do Aplicativo
  1. Client Secret: Crie um novo segredo de cliente e copie o valor para o Logto. Este segredo é usado para autenticar o aplicativo OIDC e proteger a comunicação entre o Logto e o IdP.
Criar Segredo
  1. Emissor (Issuer): A URL do emissor, um identificador único para o IdP, especificando a localização onde o provedor de identidade OIDC pode ser encontrado. É uma parte crucial da configuração OIDC, pois ajuda o Logto a descobrir os endpoints necessários.

    Em vez de fornecer manualmente todos esses endpoints OIDC, o Logto busca automaticamente todas as configurações necessárias e endpoints do IdP. Isso é feito utilizando a URL do emissor que você forneceu e fazendo uma chamada para o endpoint de descoberta do IdP.

    Para obter a URL do emissor, você pode encontrá-la na seção Endpoints da página de visão geral do aplicativo.

    Localize o endpoint OpenID Connect metadata document e copie a URL SEM o caminho final .well-known/openid-configuration. Isso ocorre porque o Logto irá automaticamente adicionar o .well-known/openid-configuration à URL do emissor ao buscar as configurações OIDC.

Endpoints
  1. Escopo (Scope): Uma lista de strings separadas por espaço definindo as permissões ou níveis de acesso desejados solicitados pelo Logto durante o processo de autenticação OIDC. O parâmetro de escopo permite que você especifique quais informações e acessos o Logto está solicitando do IdP.

O parâmetro de escopo é opcional. Independentemente das configurações de escopo personalizadas, o Logto sempre enviará os escopos openid, profile e email para o IdP.

Clique em Save para finalizar o processo de configuração.

Etapa 3: Definir domínios de email e habilitar o conector SSO

Forneça os domains de email da sua organização na aba de experience do conector. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão exclusivamente limitados a usar seu conector SSO como seu único método de autenticação.