Pular para o conteúdo principal

Configurar Single Sign-On com OpenID Connect (OIDC)

Com um esforço mínimo de configuração, este conector permite a integração com qualquer Provedor de Identidade (IdP) baseado em OIDC.

dica:

Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.

Passo 1: Crie uma aplicação OIDC no seu IdP

Inicie a integração OIDC SSO criando um aplicativo no lado do IdP. Você precisará fornecer as seguintes configurações do servidor Logto.

  • URI de Callback: O URI de Callback do Logto, também conhecido como URI de Redirecionamento ou URL de Resposta, é um endpoint ou URL específico que o IdP usa para redirecionar o navegador do usuário após a autenticação bem-sucedida. Depois que um usuário autentica com sucesso no IdP, o IdP redireciona o navegador do usuário de volta para este URI designado junto com um código de autorização. O Logto completará o processo de autenticação com base no código de autorização recebido deste URI.

Preencha o URI de Callback do Logto no formulário de configurações do aplicativo OIDC do seu IdP e continue a criar o aplicativo. (A maioria dos IdPs OIDC oferece uma ampla gama de tipos de aplicativos para escolher. Para criar um conector SSO baseado na web no Logto, por favor, escolha o tipo Web Application.)

Passo 2: Configure o SSO OIDC no Logto

Após criar com sucesso um aplicativo OIDC no lado do provedor de identidade (IdP), você precisará fornecer as configurações do IdP de volta ao Logto. Navegue até a aba Connection e preencha as seguintes configurações:

  • Client ID: Um identificador único atribuído ao seu aplicativo OIDC pelo IdP. Esse identificador é usado pelo Logto para identificar e autenticar o aplicativo durante o fluxo OIDC.
  • Client Secret: Um segredo confidencial compartilhado entre o Logto e o IdP. Esse segredo é utilizado para autenticar o aplicativo OIDC e proteger a comunicação entre o Logto e o IdP.
  • Emissor (Issuer): A URL do emissor, um identificador único para o IdP, especificando o local onde o provedor de identidade OIDC pode ser encontrado. É uma parte crucial da configuração OIDC, pois ajuda o Logto a descobrir os endpoints necessários. Para facilitar o processo de configuração, o Logto buscará automaticamente os endpoints e configurações OIDC necessários. Isso é feito utilizando o emissor fornecido e realizando uma chamada aos endpoints de descoberta OIDC do IdP. É fundamental garantir que o endpoint do emissor esteja válido e configurado corretamente para permitir que o Logto recupere as informações necessárias corretamente. Após uma solicitação de busca bem-sucedida, você deverá conseguir visualizar as configurações do IdP analisadas na seção de emissores (issuers).

Passo 3: Configure escopos (Opcional)

Escopos (Scopes) definem as permissões que seu aplicativo solicita dos usuários e controlam quais dados seu aplicativo pode acessar das contas corporativas deles.

Configurar escopos requer configuração em ambos os lados:

  1. Seu Provedor de Identidade (IdP) (Identity Provider): Configure quais permissões são permitidas para autorização no console do seu IdP
    • Alguns IdPs habilitam todos os escopos públicos por padrão (nenhuma ação necessária)
    • Outros exigem que você conceda permissões explicitamente
  2. Conector corporativo Logto (Logto enterprise connector): Especifique quais escopos solicitar durante a autenticação nas configurações do conector OIDC corporativo do Logto > campo Scopes.
    • O Logto sempre inclui os escopos openid, profile e email para recuperar informações básicas de identidade do usuário, independentemente das suas configurações de escopo personalizadas.
    • Você pode adicionar escopos adicionais (separados por espaços) para solicitar mais informações do IdP.
dica:

Se seu aplicativo precisar acessar APIs usando esses escopos, certifique-se de habilitar Armazenar tokens para acesso persistente à API (Store tokens for persistent API access) no seu conector corporativo Logto. Veja a próxima seção para detalhes.

Passo 4: Armazene tokens para acessar APIs de terceiros (Opcional)

Se você deseja acessar as APIs do Provedor de Identidade (Identity Provider) e realizar ações com autorização do usuário, o Logto precisa obter escopos de API (API scopes) específicos e armazenar tokens.

  1. Adicione os escopos necessários no campo scope seguindo as instruções acima
  2. Ative Armazenar tokens para acesso persistente à API no conector empresarial OIDC do Logto. O Logto armazenará com segurança os tokens de acesso no Cofre de Segredos (Secret Vault).
  3. Para provedores de identidade OIDC padrão (standard), o escopo offline_access deve ser incluído para obter um token de atualização (refresh token), evitando solicitações repetidas de consentimento do usuário.

Passo 5: Defina domínios de e-mail e habilite o conector SSO

Forneça os domínios de email da sua organização na guia SSO experience do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão redirecionados para usar seu conector SSO como seu único método de autenticação.