跳到主要内容

设置 Okta 单点登录 (SSO)

通过最小的配置工作,此连接器允许与 Okta 集成以实现企业单点登录 (SSO)。

提示:

有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。

步骤 1:在 Okta 管理门户上创建 OIDC 应用程序

  • 访问 Okta 管理门户并以管理员身份登录。
  • 使用侧边菜单导航到 Applications/Applications 页面。
  • 点击 Create App Integration 按钮以创建一个新的 OIDC 应用程序。
  • 选择 OIDC - OpenID Connect 选项作为 Sign-in method
  • 选择 Web Application 选项作为 Application type

Okta create application.webp

点击 Next 按钮继续。

步骤 2:配置应用程序设置

  1. 提供一个 App integration name。它将用作你的 OIDC 应用程序的标识符。
  2. 使用 Logto SSO 连接器的回调 URL 添加一个新的 Sign-in redirect URIs

这是 Okta 在成功认证 (Authentication) 后将用户浏览器重定向到的 URI。当用户成功通过 IdP 认证 (Authentication) 后,IdP 会将用户的浏览器重定向回这个指定的 URI,并附带一个授权 (Authorization) 代码。Logto 将根据从此 URI 接收到的授权 (Authorization) 代码完成认证 (Authentication) 过程。

Okta application settings.webp

  1. 将用户分配给应用程序。

根据 Assignments 设置,你可以选择将应用程序分配给所有用户或特定用户/组。

Okta assign users.webp

点击 Save 按钮以保存应用程序设置。

步骤 3:使用客户端凭据设置 Logto 连接器

成功创建 OIDC 应用程序后,你将被重定向到应用程序详情页面。

Okta client credentials.webp

复制 client IDclient secret,并填写到 Logto SSO 连接器 Connection 标签中的相应字段。

使用你的 Okta 域作为 发行者 (Issuer)。例如:https://dev-12345678.okta.com。一旦你填写完所有字段,点击 Save 按钮保存连接器设置。

如果你提供的 发行者 (Issuer) 链接有效,你将会看到在 发行者 (Issuer) 字段下方显示的解析后的 Okta IdP 配置完整列表。

步骤 4:附加权限 (Scopes)(可选)

使用 Scope 字段向你的 OAuth 请求添加额外的权限 (Scopes)。这将允许你从 Okta OAuth 服务器请求更多信息。有关可用权限 (Scopes) 的更多详细信息,请参考 Okta 文档

无论自定义权限 (Scope) 设置如何,Logto 始终会向 IdP 发送 openidprofileemail 权限 (Scopes)。这是为了确保 Logto 能够正确检索用户的身份信息和电子邮件地址。

步骤 5:设置电子邮件域并启用 SSO 连接器

在 Logto 的连接器 SSO 体验 标签上提供你组织的 电子邮件域。这将启用 SSO 连接器作为这些用户的认证 (Authentication) 方法。

具有指定域电子邮件地址的用户将被重定向,以使用你的 SSO 连接器作为他们唯一的认证 (Authentication) 方法。

有关与 Okta 创建 OIDC 集成的更多详细信息,请查看 创建 OIDC 应用集成