設定 SAML 單一登入 (SSO)
透過最少的配置工作,此連接器允許與任何基於 SAML 的身分提供者 (IdP) 整合。
提示:
如需更多關於單一登入 (SSO) 的資訊以及如何在 Logto 中配置 SSO,請參閱 企業級單一登入 (Enterprise SSO) (SAML & OIDC) 文件以開始使用。
步驟 1:在你的 IdP 上建立 SAML SSO 應用程式
在 IdP 端創建應用程式以啟動 SAML 單一登入 (SSO) 整合。從 Logto 獲取以下配置,代表你的服務提供者 (SP):
- 受眾 URI (Audience URI, SP Entity ID):它作為 Logto 服務的全域唯一識別符,作為 SP 在向 IdP 發送驗證請求時的 EntityId。此識別符對於 IdP 與 Logto 之間安全交換 SAML 聲明和其他驗證相關數據至關重要。
- ACS URL:Assertion Consumer Service (ACS) URL 是以 POST 請求發送 SAML 聲明的位置。此 URL 由 IdP 用於將 SAML 聲明發送至 Logto。它充當回呼 URL,Logto 預期在此接收並處理包含使用者身分資訊的 SAML 回應。
在你的 IdP SAML 應用程式中填寫受眾 URI 和 ACS URL 配置,然後繼續從你的 IdP 獲取以下配置。
步驟 2:在 Logto 上配置 SAML SSO
要使 SAML 單一登入 (SSO) 整合正常運作,你需要將 IdP 元資料提供給 Logto。IdP 元資料是一個 XML 文件,包含 Logto 與 IdP 建立信任所需的所有資訊。
導航至 Connection 標籤。Logto 提供三種不同方式來配置 IdP 元資料:
- 元資料 URL:提供 IdP 元資料 XML 文件的 URL。Logto 將從該 URL 獲取元資料並自動配置 SAML 單一登入 (SSO) 整合。
- 上傳元資料:上傳 IdP 元資料 XML 文件。Logto 將解析該 XML 文件並自動配置 SAML 單一登入 (SSO) 整合。
- 手動配置:手動配置 IdP 元資料。
- IdP 實體 ID:IdP 的實體 ID。
- 單一登入 URL:IdP 單一登入服務的 URL。
- 簽署憑證:x509 憑證,用於驗證來自 IdP 的 SAML 回應的簽名。
使用上述任一配置方式,Logto 將解析 IdP 元資料並相應地配置 SAML 單一登入 (SSO) 整合。
步驟 3:配置使用者屬性對應
從 IdP 返回的使用者屬性可能會根據 IdP 的配置而有所不同。Logto 提供了一種靈活的方法,將從 IdP 返回的使用者屬性映射到 Logto 中的使用者屬性。你可以在 SAML 單一登入 (SSO) 整合體驗標籤中配置使用者屬性映射。
- id:使用者的唯一識別符。Logto 將從 SAML 回應中讀取
nameId宣告作為使用者 SSO 身分識別 id。 - email:使用者的電子郵件地址。
- name:使用者的名稱。
步驟 4:設定電子郵件網域並啟用 SSO 連接器
在 Logto 的連接器 SSO 體驗 標籤中提供你組織的 電子郵件網域。這將啟用 SSO 連接器作為這些使用者的驗證 (Authentication) 方法。
擁有指定網域電子郵件地址的使用者將被重定向,使用 SAML SSO 連接器作為他們唯一的驗證 (Authentication) 方法。