Pular para o conteúdo principal

Configurar Single Sign-On com Microsoft Entra ID (SAML)

Com esforços mínimos de configuração, este conector permite a integração com o Microsoft Entra ID (antigo Azure AD) para SSO corporativo.

dica:

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Passo 1: Criar um aplicativo Azure AD SSO

Inicie a integração do SSO do Azure AD criando um aplicativo SSO no lado do Azure AD.

  1. Acesse o portal do Azure e faça login como administrador.
  2. Selecione o serviço Microsoft Entra ID.
  3. Navegue até Enterprise applications usando o menu lateral. Clique em New application e selecione Create your own application.

Azure AD create application.webp

  1. Insira o nome do aplicativo e selecione Integrate any other application you don't find in the gallery (Non-gallery).
  2. Selecione Setup single sign-on > SAML.

Azure AD set up SSO.webp

  1. Siga as instruções; como primeiro passo, você precisará preencher a configuração básica do SAML usando as seguintes informações fornecidas pelo Logto.

Azure AD SP config

  • Audience URI (SP Entity ID): Representa um identificador globalmente único para o seu serviço Logto, funcionando como o EntityId para SP durante solicitações de autenticação para o IdP. Este identificador é fundamental para a troca segura de afirmações SAML e outros dados relacionados à autenticação entre o IdP e o Logto.
  • ACS URL: A URL do Assertion Consumer Service (ACS) é o local onde a afirmação SAML é enviada com uma solicitação POST. Esta URL é usada pelo IdP para enviar a afirmação SAML para o Logto. Atua como uma URL de retorno onde o Logto espera receber e consumir a resposta SAML contendo as informações de identidade do usuário.

Clique em Save para continuar.

Passo 2: Configurar SAML SSO no Logto

Para fazer a integração SAML SSO funcionar, você precisará fornecer os metadados do IdP de volta para o Logto. Vamos voltar para o lado do Logto e navegar até a aba Connection do seu conector Azure AD SSO.

O Logto oferece três maneiras diferentes de configurar os metadados do IdP. A maneira mais fácil é fornecendo a metadata URL do aplicativo Azure AD SSO.

Copie a App Federation Metadata Url da seção SAML Certificates do seu aplicativo Azure AD SSO e cole no campo Metadata URL no Logto.

Azure AD Metadata URL.webp

O Logto buscará os metadados da URL e configurará a integração SAML SSO automaticamente.

Passo 3: Configurar mapeamento de atributos de usuário

Logto fornece uma maneira flexível de mapear os atributos do usuário retornados do IdP para os atributos do usuário no Logto. O Logto sincronizará os seguintes atributos de usuário do IdP por padrão:

  • id: O identificador único do usuário. O Logto lerá a reivindicação nameID da resposta SAML como o id de identidade SSO do usuário.
  • email: O endereço de email do usuário. O Logto lerá a reivindicação email da resposta SAML como o email principal do usuário por padrão.
  • name: O nome do usuário.

Você pode gerenciar a lógica de mapeamento de atributos do usuário tanto no lado do Azure AD quanto no lado do Logto.

  1. Mapear os atributos do usuário do AzureAD para os atributos do usuário do Logto no lado do Logto.

    Visite a seção Attributes & Claims do seu aplicativo SSO do Azure AD.

    Copie os seguintes nomes de atributos (com prefixo de namespace) e cole-os nos campos correspondentes no Logto.

    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name (Recomendação: atualize este mapa de valor de atributo para user.displayname para uma melhor experiência do usuário)

Azure AD default attribute mapping.webp

  1. Mapear os atributos do usuário do AzureAD para os atributos do usuário do Logto no lado do AzureAD.

    Visite a seção Attributes & Claims do seu aplicativo SSO do Azure AD.

    Clique em Edit e atualize os campos Additional claims com base nas configurações de atributos do usuário do Logto:

    • atualize o valor do nome da reivindicação com base nas configurações de atributos do usuário do Logto.
    • remova o prefixo de namespace.
    • clique em Save para continuar.

    Deve terminar com as seguintes configurações:

Azure AD_Logto attribute mapping.webp

Você também pode especificar atributos adicionais do usuário no lado do Azure AD. O Logto manterá um registro dos atributos originais do usuário retornados do IdP no campo sso_identity do usuário.

Passo 4: Atribuir usuários ao aplicativo Azure AD SSO

Visite a seção Users and groups do seu aplicativo Azure AD SSO. Clique em Add user/group para atribuir usuários ao aplicativo Azure AD SSO. Somente os usuários atribuídos ao seu aplicativo Azure AD SSO poderão autenticar através do conector Azure AD SSO.

Azure AD assign users.webp

Passo 5: Definir domínios de email e habilitar o conector SSO

Forneça os domínios de email da sua organização na aba SSO experience do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão redirecionados para usar o conector SAML SSO como seu único método de autenticação.

Por favor, consulte a documentação oficial do Azure AD para mais detalhes sobre a integração do Azure AD SSO.