使用 OpenID Connect (OIDC) 设置单点登录
通过最小的配置工作量,此连接器允许与任何基于 OIDC 的身份提供商 (IdP) 集成。
提示:
有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。
步骤 1:在你的 IdP 上创建一个 OIDC 应用
通过在 IdP 端创建一个应用来启动 OIDC 单点登录集成。你需要提供以下来自 Logto 服务器的配置。
- 回调 URI:Logto 回调 URI,也称为重定向 URI 或回复 URL,是 IdP 用于在成功认证后重定向用户浏览器的特定端点或 URL。当用户成功通过 IdP 认证后,IdP 会将用户的浏览器重定向回此指定的 URI,并附带一个授权码。Logto 将根据从此 URI 接收到的授权码完成认证过程。
在你的 IdP OIDC 应用设置表单中填写 Logto 回调 URI,并继续创建应用。(大多数 OIDC IdP 提供多种应用类型可供选择。要在 Logto 上创建基于 web 的单点登录连接器,请选择 Web Application
类型。)
步骤 2:在 Logto 上配置 OIDC 单点登录
在 IdP 端成功创建 OIDC 应用后,你需要将 IdP 配置提供给 Logto。导航到 Connection
选项卡,并填写以下配置:
- Client ID:由 IdP 分配给你的 OIDC 应用的唯一标识符。此标识符用于 Logto 在 OIDC 流程中识别和认证应用。
- Client Secret:在 Logto 和 IdP 之间共享的机密密钥。此密钥用于认证 OIDC 应用并保护 Logto 和 IdP 之间的通信。
- 发行者 (Issuer):发行者 URL,是 IdP 的唯一标识符,指定了可以找到 OIDC 身份提供商的位置。它是 OIDC 配置的重要组成部分,有助于 Logto 发现必要的端点。 为了简化配置过程,Logto 将自动获取所需的 OIDC 端点和配置。这是通过利用你提供的发行者并调用 IdP 的 OIDC 发现端点来完成的。确保发行者端点有效且配置准确,以便 Logto 能够正确检索所需信息。 在成功获取请求后,你应该能够在发行者部分看到解析后的 IdP 配置。
- 权限 (Scope):一个以空格分隔的字符串列表,定义了 Logto 在 OIDC 认证过程中请求的所需权限或访问级别。scope 参数允许你指定 Logto 从 IdP 请求哪些信息和访问权限。
scope 参数是可选的。无论自定义 scope 设置如何,Logto 始终会向 IdP 发送
openid
、profile
和email
权限。 这是为了确保 Logto 能够正确从 IdP 检索用户的身份信息和电子邮件地址。你可以在 scope 参数中添加其他权限,以请求更多来自 IdP 的信息。
步骤 3:设置电子邮件域并启用单点登录连接器
在 Logto 的连接器 SSO 体验
选项卡上提供你的组织的 电子邮件域
。这将启用单点登录连接器作为这些用户的认证方法。
具有指定域中电子邮件地址的用户将被重定向使用你的单点登录连接器作为他们唯一的认证方法。