設定 OpenID Connect (OIDC) 單一登入 (SSO)
透過最少的配置工作,此連接器允許與任何基於 OIDC 的身分提供者 (IdP) 整合。
提示:
如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO,請參閱 企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。
步驟 1:在你的 IdP 上建立 OIDC 應用程式
開始 OIDC 單一登入 (SSO) 整合,首先在身分提供者 (IdP) 端創建一個應用程式。你需要提供以下來自 Logto 伺服器的配置。
- Callback URI:Logto 的 Callback URI,也稱為 Redirect URI 或 Reply URL,是 IdP 在成功驗證後用來重定向使用者瀏覽器的特定端點或 URL。當使用者成功通過 IdP 驗證後,IdP 會將使用者瀏覽器重定向回這個指定的 URI,並附帶授權碼。Logto 將根據從此 URI 接收到的授權碼完成驗證流程。
在你的 IdP OIDC 應用程式設定表單中填入 Logto Callback URI,然後繼續創建應用程式。(大多數 OIDC IdP 提供多種應用程式類型可供選擇。若要在 Logto 上創建基於網頁的 SSO 連接器,請選擇 Web Application
類型。)
步驟 2:在 Logto 上配置 OIDC 單一登入 (SSO)
在 IdP 端成功建立 OIDC 應用程式後,你需要將 IdP 配置提供給 Logto。導航至 Connection
標籤,並填寫以下配置:
- Client ID:由 IdP 分配給你的 OIDC 應用程式的唯一識別符。Logto 使用此識別符在 OIDC 流程中識別和驗證應用程式。
- Client Secret:在 Logto 和 IdP 之間共享的機密密碼。此密碼用於驗證 OIDC 應用程式並保護 Logto 與 IdP 之間的通信。
- 簽發者 (Issuer):簽發者 URL,是 IdP 的唯一識別符,指定 OIDC 身分提供者 (IdP) 的位置。這是 OIDC 配置中的關鍵部分,因為它幫助 Logto 發現必要的端點。 為了簡化配置過程,Logto 將自動獲取所需的 OIDC 端點和配置。這是通過利用你提供的簽發者並調用 IdP 的 OIDC 發現端點來完成的。確保簽發者端點有效且配置準確,以便 Logto 正確檢索所需信息是至關重要的。 成功獲取請求後,你應該能在簽發者部分看到解析後的 IdP 配置。
- 權限範圍 (Scope):由空格分隔的字串列表,定義 Logto 在 OIDC 驗證過程中請求的所需權限或存取級別。權限範圍參數允許你指定 Logto 從 IdP 請求哪些信息和存取權限。
權限範圍參數是可選的。無論自訂權限範圍設置如何,Logto 將始終向 IdP 發送
openid
、profile
和email
權限範圍。 這是為了確保 Logto 能夠正確從 IdP 檢索使用者的身分信息和電子郵件地址。你可以在權限範圍參數中添加其他權限範圍,以請求更多來自 IdP 的信息。
步驟 3:設定電子郵件網域並啟用 SSO 連接器
在 Logto 的連接器 SSO 體驗
標籤中提供你組織的 電子郵件網域
。這將啟用 SSO 連接器作為這些使用者的驗證 (Authentication) 方法。
擁有指定網域電子郵件地址的使用者將被重定向,使用你的 SSO 連接器作為他們唯一的驗證 (Authentication) 方法。