設定 Okta 單一登入 (SSO)
透過最少的配置工作,此連接器允許與 Okta 進行企業級單一登入 (SSO) 的整合。
如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO,請參閱 企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。
步驟 1:在 Okta 管理入口創建 OIDC 應用程式
- 訪問 Okta 管理員入口網站並以管理員身分登入。
- 使用側邊選單導航至
Applications/Applications頁面。 - 點擊
Create App Integration按鈕以建立新的 OIDC 應用程式。 - 選擇
OIDC - OpenID Connect選項作為Sign-in method。 - 選擇
Web Application選項作為Application type。
點擊 Next 按鈕繼續。
步驟 2:配置應用程式設定
- 提供一個
App integration name。這將用作你的 OIDC 應用程式的識別符。 - 使用 Logto SSO 連接器的回呼 URL 新增一個新的
Sign-in redirect URIs。
這是 Okta 在成功驗證後將使用者的瀏覽器重定向的 URI。當使用者成功通過身分提供者 (IdP) 驗證後,IdP 會將使用者的瀏覽器重定向回這個指定的 URI,並附帶授權碼。Logto 將根據從此 URI 接收到的授權碼完成驗證過程。
- 將使用者指派給應用程式。
根據 Assignments 設定,你可以選擇將應用程式指派給所有使用者或特定使用者/群組。
點擊 Save 按鈕以保存應用程式設定。
步驟 3:使用客戶端憑證設定 Logto 連接器
成功建立 OIDC 應用程式後,你將被重定向至應用程式詳細資訊頁面。
複製 client ID 和 client secret,並填入 Logto SSO 連接器 Connection 標籤中的對應欄位。
使用你的 Okta 網域作為 簽發者 (issuer)。例如:https://dev-12345678.okta.com。填寫完所有欄位後,點擊 Save 按鈕以儲存連接器設定。
如果你提供的 簽發者 (issuer) 連結有效,你將會看到在 簽發者 (issuer) 欄位下方顯示的 Okta IdP 配置的完整解析列表。
步驟 4:額外的權限範圍 (Scopes)(可選)
使用 Scope 欄位為你的 OAuth 請求新增額外的權限範圍 (Scopes)。這將允許你從 Okta OAuth 伺服器請求更多資訊。請參閱 Okta 文件 以獲取更多關於可用權限範圍的詳細資訊。
無論自訂權限範圍的設定如何,Logto 將始終向 IdP 發送 openid、profile 和 email 權限範圍 (Scopes)。這是為了確保 Logto 能夠正確檢索使用者的身分資訊和電子郵件地址。
步驟 5:設置電子郵件網域並啟用 SSO 連接器
在 Logto 的連接器 SSO 體驗 標籤中提供你組織的 電子郵件網域。這將啟用 SSO 連接器作為這些使用者的驗證方法。
擁有指定網域電子郵件地址的使用者將被重定向,使用你的 SSO 連接器作為他們唯一的驗證方法。
有關使用 Okta 創建 OIDC 整合的更多詳細資訊,請查看 Create OIDC App Integrations。