Pular para o conteúdo principal

Configurar Single Sign-On com Microsoft Entra ID (SAML)

Com esforços mínimos de configuração, este conector permite a integração com o Microsoft Entra ID (antigo Azure AD) para SSO corporativo.

dica:

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Passo 1: Criar um aplicativo Azure AD SSO

Inicie a integração do Azure AD SSO criando um aplicativo SSO no lado do Azure AD.

  1. Vá para o portal do Azure e faça login como administrador.
  2. Selecione o serviço Microsoft Entra ID.
  3. Navegue até Aplicativos empresariais usando o menu lateral. Clique em Novo aplicativo e selecione Criar seu próprio aplicativo.
Azure AD criar aplicativo
  1. Insira o nome do aplicativo e selecione Integrar qualquer outro aplicativo que você não encontre na galeria (Não-galeria).
  2. Selecione Configurar autenticação única > SAML.
Azure AD configurar SSO
  1. Siga as instruções, como primeiro passo, você precisará preencher a configuração básica do SAML usando as seguintes informações fornecidas pelo Logto.
Configuração SP do Azure AD
  • URI do Público (Audience URI) (SP Entity ID): Representa um identificador globalmente único para o seu serviço Logto, funcionando como o EntityId para SP durante solicitações de autenticação ao IdP. Este identificador é fundamental para a troca segura de afirmações SAML e outros dados relacionados à autenticação entre o IdP e o Logto.
  • URL ACS: O URL do Serviço de Consumidor de Afirmação (ACS) é o local onde a afirmação SAML é enviada com uma solicitação POST. Este URL é usado pelo IdP para enviar a afirmação SAML para o Logto. Ele atua como um URL de retorno onde o Logto espera receber e consumir a resposta SAML contendo as informações de identidade do usuário.

Clique em Salvar para continuar.

Passo 2: Configurar SAML SSO no Logto

Para que a integração SAML SSO funcione, você precisará fornecer os metadados do IdP de volta ao Logto. Vamos voltar para o lado do Logto e navegar até a aba Connection do seu conector Azure AD SSO.

Logto oferece três maneiras diferentes de configurar os metadados do IdP. A maneira mais fácil é fornecendo a metadata URL do aplicativo Azure AD SSO.

Copie a App Federation Metadata Url da seção de Certificados SAML do seu aplicativo Azure AD SSO e cole no campo Metadata URL no Logto.

Azure AD Metadata URL

Logto buscará os metadados da URL e configurará a integração SAML SSO automaticamente.

Passo 3: Configurar mapeamento de atributos de usuário

Logto fornece uma maneira flexível de mapear os atributos de usuário retornados do IdP para os atributos de usuário no Logto. Logto sincronizará os seguintes atributos de usuário do IdP por padrão:

  • id: O identificador único do usuário. Logto lerá a reivindicação nameID da resposta SAML como o id de identidade SSO do usuário.
  • email: O endereço de email do usuário. Logto lerá a reivindicação email da resposta SAML como o email principal do usuário por padrão.
  • name: O nome do usuário.

Você pode gerenciar a lógica de mapeamento de atributos de usuário tanto no lado do Azure AD quanto no lado do Logto.

  1. Mapear os atributos de usuário do AzureAD para os atributos de usuário do Logto no lado do Logto.

    Visite a seção Attributes & Claims do seu aplicativo SSO do Azure AD.

    Copie os seguintes nomes de atributos (com prefixo de namespace) e cole-os nos campos correspondentes no Logto.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name (Recomendação: atualize este valor de atributo para user.displayname para uma melhor experiência do usuário)
Mapeamento de atributos padrão do Azure AD

  1. Mapear os atributos de usuário do AzureAD para os atributos de usuário do Logto no lado do AzureAD.

    Visite a seção Attributes & Claims do seu aplicativo SSO do Azure AD.

    Clique em Edit, e atualize os campos Additional claims com base nas configurações de atributos de usuário do Logto:

    • atualize o valor do nome da reivindicação com base nas configurações de atributos de usuário do Logto.
    • remova o prefixo de namespace.
    • clique em Save para continuar.

    Deve terminar com as seguintes configurações:

Mapeamento de atributos Azure AD_Logto

Você também pode especificar atributos de usuário adicionais no lado do Azure AD. Logto manterá um registro dos atributos de usuário originais retornados do IdP no campo sso_identity do usuário.

Passo 4: Atribuir usuários ao aplicativo Azure AD SSO

Visite a seção Users and groups do seu aplicativo Azure AD SSO. Clique em Add user/group para atribuir usuários ao aplicativo Azure AD SSO. Somente os usuários atribuídos ao seu aplicativo Azure AD SSO poderão se autenticar através do conector Azure AD SSO.

Azure AD assign users

Passo 5: Definir domínios de email e habilitar o conector SSO

Forneça os domínios de email da sua organização na aba SSO experience do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão redirecionados para usar o conector SAML SSO como seu único método de autenticação.

Por favor, consulte a documentação oficial do Azure AD para mais detalhes sobre a integração do Azure AD SSO.