Configurar Single Sign-On com Google Workspace
Com esforços mínimos de configuração, este conector permite a integração com o Microsoft Entra ID para SSO corporativo.
Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.
Etapa 1: Criar um novo projeto no Google Cloud Platform
Antes de poder usar o Google Workspace como um provedor de autenticação, você deve configurar um projeto no Google API Console para obter credenciais OAuth 2.0. Se você já tiver um projeto, pode pular esta etapa. Caso contrário, crie um novo projeto sob sua organização do Google.
Etapa 2: Configurar a tela de consentimento para seu aplicativo
Para criar uma nova credencial OIDC, você precisa configurar a tela de consentimento para o seu aplicativo.
- Navegue até a página Tela de consentimento OAuth e selecione o tipo de usuário
Interno
. Isso tornará o aplicativo OAuth disponível apenas para usuários dentro da sua organização.
- Preencha as configurações da
Tela de Consentimento (Consent Screen)
seguindo as instruções na página. Você precisa fornecer as seguintes informações mínimas:
- Nome do aplicativo: O nome do seu aplicativo. Ele será exibido na tela de consentimento.
- Email de suporte: O email de suporte do seu aplicativo. Ele será exibido na tela de consentimento.
- Defina os
Escopos (Scopes)
para o seu aplicativo. Para recuperar adequadamente as informações de identidade e endereço de email do usuário do IdP, os conectores SSO do Logto precisam conceder os seguintes escopos do IdP:
- openid: Este escopo é necessário para a autenticação OIDC. Ele é usado para recuperar o Token de ID e obter acesso ao endpoint userInfo do IdP.
- profile: Este escopo é necessário para acessar as informações básicas do perfil do usuário.
- email: Este escopo é necessário para acessar o endereço de email do usuário.
Clique no botão Salvar
para salvar as configurações da tela de consentimento.
Etapa 3: Criar uma nova credencial OAuth
Navegue até a página de Credenciais e clique no botão Create Credentials
. Selecione a opção OAuth client ID
no menu suspenso para criar uma nova credencial OAuth para seu aplicativo.
Continue configurando a credencial OAuth preenchendo as seguintes informações:
- Selecione
Web application
como o tipo de aplicativo. - Preencha o
Name
do seu aplicativo cliente,Logto SSO Connector
, por exemplo. Isso ajudará você a identificar as credenciais no futuro. - Preencha os
Authorized redirect URIs
com o URI de callback do Logto. Este é o URI para o qual o Google redirecionará o navegador do usuário após a autenticação bem-sucedida. Após um usuário autenticar-se com sucesso com o IdP, o IdP redireciona o navegador do usuário de volta para este URI designado junto com um código de autorização. O Logto completará o processo de autenticação com base no código de autorização recebido deste URI. - Preencha os
Authorized JavaScript origins
com a origem do URI de callback do Logto. Isso garante que apenas seu aplicativo Logto possa enviar solicitações para o servidor OAuth do Google. - Clique no botão
Create
para criar a credencial OAuth.
Etapa 4: Configurar o conector Logto com as credenciais do cliente
Após criar com sucesso a credencial OAuth, você receberá um modal de prompt com o client ID e o client secret.
Copie o Client ID
e o Client secret
e preencha os campos correspondentes na aba Connection
do conector SSO do Logto.
Agora você configurou com sucesso um conector SSO do Google Workspace no Logto.
Etapa 5: Escopos adicionais (Opcional)
Use o campo Scope
para adicionar escopos adicionais à sua solicitação OAuth. Isso permitirá que você solicite mais informações do servidor OAuth do Google. Consulte a documentação Google OAuth Scopes para mais informações.
Independentemente das configurações de escopo personalizadas, o Logto sempre enviará os escopos openid
, profile
e email
para o IdP. Isso é para garantir que o Logto possa recuperar corretamente as informações de identidade e o endereço de email do usuário.
Etapa 6: Definir domínios de email e habilitar o conector SSO
Forneça os domínios de email
da sua organização na aba SSO experience
do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.
Usuários com endereços de email nos domínios especificados serão redirecionados para usar seu conector SSO como seu único método de autenticação.
Para mais informações sobre o conector SSO do Google Workspace, por favor, consulte Google OpenID Connector.