Configurar Single Sign-On com OpenID Connect (OIDC)
Com esforços mínimos de configuração, este conector permite a integração com qualquer Provedor de Identidade (IdP) baseado em OIDC.
Para mais informações sobre SSO e como configurar SSO no Logto, por favor, confira a documentação de SSO corporativo (SAML & OIDC) para começar.
Passo 1: Criar um aplicativo OIDC no seu IdP
Inicie a integração OIDC SSO criando um aplicativo no lado do IdP. Você precisará fornecer as seguintes configurações do servidor Logto.
- Callback URI: O Callback URI do Logto, também conhecido como Redirect URI ou Reply URL, é um endpoint ou URL específico que o IdP usa para redirecionar o navegador do usuário após a autenticação bem-sucedida. Depois que um usuário autentica com sucesso no IdP, o IdP redireciona o navegador do usuário de volta para este URI designado junto com um código de autorização. O Logto completará o processo de autenticação com base no código de autorização recebido deste URI.
Preencha o Callback URI do Logto no formulário de configurações do aplicativo OIDC do seu IdP e continue a criar o aplicativo. (A maioria dos IdPs OIDC oferece uma ampla gama de tipos de aplicativos para escolher. Para criar um conector SSO baseado na web no Logto, escolha o tipo Web Application.)
Passo 2: Configurar OIDC SSO no Logto
Após criar com sucesso um aplicativo OIDC no lado do IdP, você precisará fornecer as configurações do IdP de volta ao Logto. Navegue até a aba Connection e preencha as seguintes configurações:
- Client ID: Um identificador único atribuído ao seu aplicativo OIDC pelo IdP. Este identificador é usado pelo Logto para identificar e autenticar o aplicativo durante o fluxo OIDC.
- Client Secret: Um segredo confidencial compartilhado entre o Logto e o IdP. Este segredo é usado para autenticar o aplicativo OIDC e proteger a comunicação entre o Logto e o IdP.
- Emissor (Issuer): A URL do emissor, um identificador único para o IdP, especificando o local onde o provedor de identidade OIDC pode ser encontrado. É uma parte crucial da configuração OIDC, pois ajuda o Logto a descobrir os endpoints necessários. Para facilitar o processo de configuração, o Logto buscará automaticamente os endpoints e configurações OIDC necessários. Isso é feito utilizando o emissor que você forneceu e fazendo uma chamada aos endpoints de descoberta OIDC do IdP. É imperativo garantir que o endpoint do emissor seja válido e configurado corretamente para permitir que o Logto recupere as informações necessárias corretamente. Após uma solicitação de busca bem-sucedida, você deverá ver as configurações do IdP analisadas na seção de emissores.
- Escopo (Scope): Uma lista de strings separadas por espaço definindo as permissões ou níveis de acesso desejados solicitados pelo Logto durante o processo de autenticação OIDC. O parâmetro de escopo permite especificar quais informações e acessos o Logto está solicitando do IdP.
O parâmetro de escopo é opcional. Independentemente das configurações de escopo personalizadas, o Logto sempre enviará os escopos
openid,profileeemailpara o IdP. Isso é para garantir que o Logto possa recuperar corretamente as informações de identidade do usuário e o endereço de email do IdP. Você pode adicionar escopos adicionais ao parâmetro de escopo para solicitar mais informações do IdP.
Passo 3: Definir domínios de email e habilitar o conector SSO
Forneça os domínios de email da sua organização na aba SSO experience do conector do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.
Usuários com endereços de email nos domínios especificados serão redirecionados para usar seu conector SSO como seu único método de autenticação.