使用 SAML 设置单点登录
通过最小的配置工作量,此连接器允许与任何基于 SAML 的身份提供商 (IdP) 集成。
提示
有关 SSO 和如何在 Logto 中配置 SSO 的更多信息,请查看 企业单点登录 (SAML & OIDC) 文档以开始使用。
第 1 步:在你的 IdP 上创建一个 SAML SSO 应用程序
通过在 IdP 端创建一个应用程序来启动 SAML SSO 集成。从 Logto 获取以下配置,代表你的服务提供商 (SP):
- 受众 URI(SP 实体 ID):它表示为你的 Logto 服务的全局唯一标识符,在向 IdP 发起认证请求时作为 SP 的 EntityId。此标识符对于 IdP 和 Logto 之间 SAML 断言和其他认证相关数据的安全交换至关重要。
- ACS URL:断言消费者服务 (ACS) URL 是通过 POST 请求发送 SAML 断言的位置。此 URL 由 IdP 用于将 SAML 断言发送到 Logto。它充当回调 URL,Logto 期望在此接收和消费包含用户身份信息的 SAML 响应。
在你的 IdP SAML 应用程序中填写受众 URI 和 ACS URL 配置,并继续从你的 IdP 获取以下配置。
第 2 步:在 Logto 上配置 SAML SSO
要使 SAML SSO 集成生效,你需要向 Logto 提供 IdP 元数据。IdP 元数据是一个 XML 文档,包含 Logto 建立与 IdP 信任所需的所有信息。
导航到 Connection 选项卡。Logto 提供三种不同的方式来配置 IdP 元数据:
- 元数据 URL:提供 IdP 元数据 XML 文档的 URL。Logto 将从 URL 获取元数据并自动配置 SAML SSO 集成。
- 上传元数据:上传 IdP 元数据 XML 文档。Logto 将解析 XML 文档并自动配置 SAML SSO 集成。
- 手动配置:手动配置 IdP 元数据。
- IdP 实体 ID:IdP 的实体 ID。
- 单点登录 URL:IdP 单点登录服务的 URL。
- 签名证书:用于验证来自 IdP 的 SAML 响应签名的 x509 证书。
通过上述任一配置,Logto 将解析 IdP 元数据并相应地配置 SAML SSO 集成。
第 3 步:配置用户属性映射
从 IdP 返回的用户属性可能会因 IdP 配置而异。Logto 提供了一种灵活的方式,将从 IdP 返回的用户属性映射到 Logto 中的用户属性。你可以在 SAML SSO 集成体验选项卡中配置用户属性映射。
- id:用户的唯一标识符。Logto 将从 SAML 响应中读取
nameId声明作为用户 SSO 身份 id。 - email:用户的电子邮件地址。
- name:用户的姓名。
第 4 步:设置电子邮件域并启用 SSO 连接器
在 Logto 的连接器 SSO 体验 选项卡中提供你的组织的 电子邮件域。这将启用 SSO 连接器作为这些用户的认证方法。
具有指定域电子邮件地址的用户将被重定向使用 SAML SSO 连接器作为他们唯一的认证方法。