設定 OpenID Connect (OIDC) 單一登入 (SSO)

透過最少的配置工作，此連接器允許與任何基於 OIDC 的身分提供者 (IdP) 整合。

提示:

如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO，請參閱企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。

步驟 1：在你的 IdP 上建立 OIDC 應用程式

開始 OIDC 單一登入 (SSO) 整合，首先在身分提供者 (IdP) 端創建一個應用程式。你需要提供以下來自 Logto 伺服器的配置。

Callback URI：Logto 的 Callback URI，也稱為 Redirect URI 或 Reply URL，是 IdP 在成功驗證後用來重定向使用者瀏覽器的特定端點或 URL。當使用者成功通過 IdP 驗證後，IdP 會將使用者瀏覽器重定向回這個指定的 URI，並附帶授權碼。Logto 將根據從此 URI 接收到的授權碼完成驗證流程。

在你的 IdP OIDC 應用程式設定表單中填入 Logto Callback URI，然後繼續創建應用程式。（大多數 OIDC IdP 提供多種應用程式類型可供選擇。若要在 Logto 上創建基於網頁的 SSO 連接器，請選擇 Web Application 類型。）

在 IdP 端成功建立 OIDC 應用程式後，你需要將 IdP 配置提供給 Logto。導航至 Connection 標籤，並填寫以下配置：

Client ID：由 IdP 分配給你的 OIDC 應用程式的唯一識別符。Logto 使用此識別符在 OIDC 流程中識別和驗證應用程式。
Client Secret：在 Logto 和 IdP 之間共享的機密密碼。此密碼用於驗證 OIDC 應用程式並保護 Logto 與 IdP 之間的通信。
簽發者 (Issuer)：簽發者 URL，是 IdP 的唯一識別符，指定 OIDC 身分提供者 (IdP) 的位置。這是 OIDC 配置中的關鍵部分，因為它幫助 Logto 發現必要的端點。為了簡化配置過程，Logto 將自動獲取所需的 OIDC 端點和配置。這是通過利用你提供的簽發者並調用 IdP 的 OIDC 發現端點來完成的。確保簽發者端點有效且配置準確，以便 Logto 正確檢索所需信息是至關重要的。成功獲取請求後，你應該能在簽發者部分看到解析後的 IdP 配置。
權限範圍 (Scope)：由空格分隔的字串列表，定義 Logto 在 OIDC 驗證過程中請求的所需權限或存取級別。權限範圍參數允許你指定 Logto 從 IdP 請求哪些信息和存取權限。權限範圍參數是可選的。無論自訂權限範圍設置如何，Logto 將始終向 IdP 發送 openid、profile 和 email 權限範圍。這是為了確保 Logto 能夠正確從 IdP 檢索使用者的身分信息和電子郵件地址。你可以在權限範圍參數中添加其他權限範圍，以請求更多來自 IdP 的信息。

在 Logto 的連接器 SSO 體驗 標籤中提供你組織的 電子郵件網域。這將啟用 SSO 連接器作為這些使用者的驗證 (Authentication) 方法。

擁有指定網域電子郵件地址的使用者將被重定向，使用你的 SSO 連接器作為他們唯一的驗證 (Authentication) 方法。