README
設定 Microsoft Entra ID 單一登入 (SSO)
透過最少的配置工作,此連接器允許與 Microsoft Entra ID(前稱 Azure AD)整合以實現企業級單一登入 (SSO)。
如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO,請參閱 企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。
步驟 1:建立 Microsoft Entra ID OIDC 應用程式
-
前往 Microsoft Entra 管理中心 並以管理員身分登入。
-
瀏覽至 Identity > Applications > App registrations。
-
選擇
New registration。 -
輸入應用程式名稱,並選擇適合你的應用程式的帳戶類型。
-
選擇
Web作為應用程式平台。 -
從 Logto 的 SSO 設定頁面複製並貼上
redirect URI。redirect URI是使用者在 Microsoft Entra ID 驗證後被重定向的 URL。
- 點擊
Register以建立應用程式。
步驟 2:在 Logto 配置 Microsoft Entra ID OIDC SSO
成功建立 Microsoft Entra OIDC 應用程式後,你需要將 IdP 設定回傳至 Logto。在 Logto Console 中導航至 Connection 標籤,並填寫以下設定:
- Client ID:由 Microsoft Entra 指派給你的 OIDC 應用程式的唯一識別符。此識別符用於 Logto 在 OIDC 流程中識別和驗證應用程式。你可以在應用程式概覽頁面找到它,標示為
Application (client) ID。
- Client Secret:創建一個新的 client secret 並將其值複製到 Logto。此 secret 用於驗證 OIDC 應用程式並保護 Logto 與 IdP 之間的通訊。
-
簽發者 (Issuer):簽發者 URL,是 IdP 的唯一識別符,指定 OIDC 身分提供者的位置。它是 OIDC 設定的重要部分,因為它幫助 Logto 發現必要的端點。
Logto 不需要手動提供所有這些 OIDC 端點,而是自動獲取所有所需的設定和 IdP 端點。這是通過使用你提供的簽發者 URL 並調用 IdP 的 discover 端點來完成的。
要獲取簽發者 URL,你可以在應用程式概覽頁面的
Endpoints部分找到它。找到
OpenID Connect metadata document端點並複製 URL 不包含結尾的.well-known/openid-configuration路徑。這是因為 Logto 在獲取 OIDC 設定時會自動將.well-known/openid-configuration附加到簽發者 URL。
- 權限範圍 (Scope):一個以空格分隔的字串列表,定義 Logto 在 OIDC 驗證過程中請求的所需權限或存取級別。scope 參數允許你指定 Logto 從 IdP 請求的資訊和存取權限。
scope 參數是可選的。無論自訂 scope 設定如何,Logto 都會始終向 IdP 發送 openid、profile 和 email 權限範圍。
點擊 Save 完成設定過程。
步驟 3:設定電子郵件網域並啟用 SSO 連接器
在連接器的 使用體驗 (experience) 標籤中提供你組織的電子郵件 domains。這將啟用 SSO 連接器作為這些使用者的驗證 (Authentication) 方法。
擁有指定網域電子郵件地址的使用者將被限制只能使用你的 SSO 連接器作為他們唯一的驗證 (Authentication) 方法。