基本 SAML 集成设置
本指南将帮助你在 Logto 中配置你的 SAML 应用程序。按照以下步骤设置基本的 SAML 集成。
应用程序设置
基本信息
- 应用程序名称(必填):输入你的 SAML 应用程序的名称。此名称将帮助你在 Logto 中识别该应用程序。
- 描述:添加一个可选描述,以提供有关你的应用程序的更多详细信息。
SAML 服务提供商配置
-
断言消费者服务 URL(回复 URL)(必填):输入 Logto 在成功认证 (Authentication) 后应发送 SAML 断言的 URL。此 URL 应与你的服务提供商 (SP) 应用程序中提供的 ACS URL 匹配。
-
服务提供商 (SP) 实体 ID(必填):输入你的服务提供商的唯一标识符。此值应与你的 SP 应用程序中找到的实体 ID 匹配。SP 实体 ID 是一个通常遵循 URI 格式的字符串输入(但不是必须的)。
- 常见格式包括:
urn:your-domain.com:sp:saml:{serviceProviderId}https://your-domain/saml/{serviceProviderId}
- 常见格式包括:
SAML IdP 元数据
在配置基本设置后,Logto 将为你提供重要的 SAML 身份提供商 (IdP) 元数据,你需要在你的服务提供商中进行配置:
IdP 元数据 URL
使用此 URL 配置你的 SP 与 IdP 元数据。元数据包含 SAML 集成所需的所有信息。
单点登录服务 URL
这是你的 SP 应发送 SAML 认证 (Authentication) 请求的 URL。
IdP 实体 ID
身份提供商的唯一标识符。
“单点登录服务 URL”和“IdP 实体 ID”已包含在 IdP 元数据中,因此如果你的 SP 能够处理元数据 URL,则无需单独配置。
SAML 签名证书
Logto 使用此证书签署 SAML 断言。你需要在你的 SP 中配置此证书以验证签名:
- 到期时间:证书的到期日期
- 指纹:用于验证的证书唯一指纹
- 状态:证书的当前状态(活动或非活动)
- 一次只能有一个证书处于活动状态。活动证书将用于 IdP 元数据 URL。
- 如果没有活动证书,IdP 元数据 URL 将不可用。
- 你不能删除活动证书。要删除证书,必须先停用它。
- 当你激活一个非活动证书时,当前活动证书将自动停用。
附加设置
名称 ID 格式
选择你希望在 SAML 断言中格式化用户标识符的方式。默认是“Persistent”,使用 Logto 用户 ID 作为名称 ID。
你可以发现 Logto 提供了四种可用格式:
-
Persistent(使用 Logto 用户 ID 作为名称 ID):创建一个永久的、不可重用的标识符,在多个会话中保持一致。这对于在多个登录中维护稳定的用户身份是理想的,并且推荐用于大多数企业应用程序。
-
Email address(使用电子邮件地址作为名称 ID):使用用户的电子邮件地址作为标识符。当你的服务提供商依赖电子邮件地址进行用户识别或需要人类可读的标识符时,这很有用。
-
Transient(使用一次性用户 ID 作为名称 ID):生成一个临时的、一次性的标识符,每次认证 (Authentication) 请求时都会更改。这提供了增强的隐私性,适用于不希望持久用户跟踪的应用程序。
-
Unspecified(目前使用 Logto 用户 ID 作为名称 ID):类似于 Persistent 格式,但表示不需要特定格式。这提供了灵活性,同时仍然使用稳定的 Logto 用户 ID 作为标识符。
加密 SAML 断言
如果你希望加密 SAML 断言以增强安全性,请切换此选项。启用后,SAML 断言将在发送到你的 SP 之前被加密。
当你启用 SAML 断言加密时,必须提供你的服务提供商的签名证书。此证书将用于加密 SAML 断言,确保只有你的 SP 可以解密和读取断言内容。