设置 Okta 单点登录 (SSO)
通过最小的配置工作,此连接器允许与 Okta 集成以实现企业单点登录 (SSO)。
有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。
步骤 1:在 Okta 管理门户上创建 OIDC 应用程序
- 访问 Okta 管理门户并以管理员身份登录。
- 使用侧边菜单导航到
Applications/Applications页面。 - 点击
Create App Integration按钮以创建一个新的 OIDC 应用程序。 - 选择
OIDC - OpenID Connect选项作为Sign-in method。 - 选择
Web Application选项作为Application type。
点击 Next 按钮继续。
步骤 2:配置应用程序设置
- 提供一个
App integration name。它将用作你的 OIDC 应用程序的标识符。 - 使用 Logto SSO 连接器的回调 URL 添加一个新的
Sign-in redirect URIs。
这是 Okta 在成功认证 (Authentication) 后将用户浏览器重定向到的 URI。当用户成功通过 IdP 认证 (Authentication) 后,IdP 会将用户的浏览器重定向回这个指定的 URI,并附带一个授权 (Authorization) 代码。Logto 将根据从此 URI 接收到的授权 (Authorization) 代码完成认证 (Authentication) 过程。
- 将用户分配给应用程序。
根据 Assignments 设置,你可以选择将应用程序分配给所有用户或特定用户/组。
点击 Save 按钮以保存应用程序设置。
步骤 3:使用客户端凭据设置 Logto 连接器
成功创建 OIDC 应用程序后,你将被重定向到应用程序详情页面。
复制 client ID 和 client secret,并填写到 Logto SSO 连接器 Connection 标签中的相应字段。
使用你的 Okta 域作为 发行者 (Issuer)。例如:https://dev-12345678.okta.com。一旦你填写完所有字段,点击 Save 按钮保存连接器设置。
如果你提供的 发行者 (Issuer) 链接有效,你将会看到在 发行者 (Issuer) 字段下方显示的解析后的 Okta IdP 配置完整列表。
步骤 4:附加权限 (Scopes)(可选)
使用 Scope 字段向你的 OAuth 请求添加额外的权限 (Scopes)。这将允许你从 Okta OAuth 服务器请求更多信息。有关可用权限 (Scopes) 的更多详细信息,请参考 Okta 文档。
无论自定义权限 (Scope) 设置如何,Logto 始终会向 IdP 发送 openid、profile 和 email 权限 (Scopes)。这是为了确保 Logto 能够正确检索用户的身份信息和电子邮件地址。
步骤 5:设置电子邮件域并启用 SSO 连接器
在 Logto 的连接器 SSO 体验 标签上提供你组织的 电子邮件域。这将启用 SSO 连接器作为这些用户的认证 (Authentication) 方法。
具有指定域电子邮件地址的用户将被重定向,以使用你的 SSO 连接器作为他们唯一的认证 (Authentication) 方法。
有关与 Okta 创建 OIDC 集成的更多详细信息,请查看 创建 OIDC 应用集成。