Pular para o conteúdo principal

Configurar Single Sign-On com Microsoft Entra ID (OIDC)

Com esforços mínimos de configuração, este conector permite a integração com o Microsoft Entra ID (antigo Azure AD) para SSO corporativo.

dica

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Etapa 1: Criar um aplicativo Microsoft EntraID OIDC

  1. Acesse o centro de administração do Microsoft Entra e faça login como administrador.

  2. Navegue até Identidade > Aplicativos > Registros de aplicativos.

Criar Aplicativo

  1. Selecione Novo registro.

  2. Insira o nome do aplicativo e selecione o tipo de conta apropriado para seu aplicativo.

  3. Selecione Web como a plataforma do aplicativo.

  4. Copie e cole o URI de redirecionamento da página de configurações de SSO do Logto. O URI de redirecionamento é o URL para onde o usuário é redirecionado após ser autenticado com o Microsoft Entra ID.

Configurar Aplicativo
  1. Clique em Registrar para criar o aplicativo.

Etapa 2: Configurar o Microsoft Entra ID OIDC SSO no Logto

Após criar com sucesso um aplicativo Microsoft Entra OIDC, você precisará fornecer as configurações do IdP de volta ao Logto. Navegue até a aba Connection no Logto Console e preencha as seguintes configurações:

  1. Client ID: Um identificador único atribuído ao seu aplicativo OIDC pelo Microsoft Entra. Este identificador é usado pelo Logto para identificar e autenticar o aplicativo durante o fluxo OIDC. Você pode encontrá-lo na página de visão geral do aplicativo como Application (client) ID.
Detalhes do Aplicativo
  1. Client Secret: Crie um novo segredo de cliente e copie o valor para o Logto. Este segredo é usado para autenticar o aplicativo OIDC e proteger a comunicação entre o Logto e o IdP.
Criar Segredo

  1. Emissor (Issuer): O URL do emissor, um identificador único para o IdP, especificando a localização onde o provedor de identidade OIDC pode ser encontrado. É uma parte crucial da configuração OIDC, pois ajuda o Logto a descobrir os endpoints necessários.

    Em vez de fornecer manualmente todos esses endpoints OIDC, o Logto busca automaticamente todas as configurações necessárias e endpoints do IdP. Isso é feito utilizando o URL do emissor que você forneceu e fazendo uma chamada ao endpoint de descoberta do IdP.

    Para obter o URL do emissor, você pode encontrá-lo na seção Endpoints da página de visão geral do aplicativo.

    Localize o endpoint OpenID Connect metadata document e copie o URL SEM o caminho final .well-known/openid-configuration. Isso ocorre porque o Logto irá automaticamente adicionar o .well-known/openid-configuration ao URL do emissor ao buscar as configurações OIDC.

Endpoints
  1. Escopo (Scope): Uma lista de strings separadas por espaço definindo as permissões ou níveis de acesso desejados solicitados pelo Logto durante o processo de autenticação OIDC. O parâmetro de escopo permite especificar quais informações e acesso o Logto está solicitando do IdP.

O parâmetro de escopo é opcional. Independentemente das configurações de escopo personalizadas, o Logto sempre enviará os escopos openid, profile e email para o IdP.

Clique em Salvar para finalizar o processo de configuração.

Etapa 3: Definir domínios de email e habilitar o conector SSO

Forneça os domínios de email da sua organização na aba de experiência do conector. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão exclusivamente limitados a usar seu conector SSO como seu único método de autenticação.