Verwendung von Logto als Drittanbieter-Identitätsanbieter (IdP)

Logto ist eine cloudbasierte Plattform für Identitäts- und Zugriffsmanagement (IAM), die umfangreiche Authentifizierungs-, Autorisierungs- und Benutzerverwaltungsmöglichkeiten bietet. Es kann als Identitätsanbieter (IdP) für deine Drittanbieter-Anwendungen oder -Dienste verwendet werden, sodass du die Benutzer authentifizieren und ihren Zugriff auf diese Anwendungen verwalten kannst.

In diesem Artikel erklären wir, wie du Logto als IdP für deine Drittanbieter-Anwendungen konfigurierst und wie du es nutzen kannst, um Benutzer zu authentifizieren und ihre Berechtigungen zu verwalten.

Was ist ein Identitätsanbieter (IdP)?#

Ein Identitätsanbieter (IdP) ist ein Dienst, der Benutzeridentitäten überprüft und ihre Anmeldedaten verwaltet. Nach der Bestätigung der Identität eines Benutzers generiert der IdP Authentifizierungstoken oder Assertions und ermöglicht es dem Benutzer, auf verschiedene Anwendungen oder Dienste zuzugreifen, ohne sich erneut anmelden zu müssen. Im Wesentlichen ist es das zentrale System zur Verwaltung von Mitarbeiteridentitäten und -berechtigungen in deinem Unternehmen.

Was ist ein Drittanbieter-IdP?#

Ein Drittanbieter-IdP ist ein IdP, der von einer anderen Organisation als dem Dienstanbieter (SP) betrieben wird. Der SP fordert Zugriff auf die Benutzerdaten an, die nicht im Besitz des Anbieters sind. Wenn du beispielsweise Logto als Ihren IdP verwendest und dich bei einer Drittanbieter-App anmeldest, ist Logto ein Drittanbieter-IdP für die soziale App.

In der Praxis nutzen viele Anwendungen Google, Facebook oder andere Dienste von Drittanbietern als ihren IdP. Dies wird als Single Sign-On (SSO) bezeichnet. Um mehr über SSO zu erfahren, sehe dir bitte unseren Artikel CIAM 101: Authentifizierung, Identität, SSO an.

Nun wollen wir sehen, wie man Logto als Drittanbieter-IdP für deine Anwendungen integriert.

Wie man einen Drittanbieter-IdP für deine Anwendungen integriert und die besten Praktiken dazu#

Voraussetzungen#

• Bevor du beginnst, benötigst du ein Logto-Konto. Wenn du noch keines hast, kannst du dich für ein kostenloses Konto bei Logto anmelden.

• Eine Drittanbieter-Anwendung, für die du Logto als IdP einrichten möchtest. Benutzer können sich mit ihren Logto-Konten anmelden.

Erstelle eine Drittanbieter-OIDC-Anwendung in Logto#

Um eine Drittanbieter-OIDC-Anwendung in Logto zu erstellen, folge diesen Schritten:

1. Gehe zur Logto-Konsole und navigiere zur Anwendungen-Seite.

2. Klicke auf die Anwendung erstellen-Schaltfläche in der oberen rechten Ecke der Seite. Wähle "Drittanbieter-App -> OIDC" als Anwendungstyp aus.

   

3. Fülle die grundlegenden Anwendungsdetails, einschließlich Name und Beschreibung, im Pop-up-Modal aus. Klicke auf die erstellen-Schaltfläche. Dadurch wird eine neue Drittanbieter-Anwendung in Logto generiert, und du gelangst zur Detailseite.

   

Konfiguriere die OIDC-Einstellungen#

Folge diesen Schritten, um die OIDC-Einstellungen auf der Anwendungsdetailseite zu konfigurieren:

1. Navigiere zur Anwendungsdetailseite der von dir erstellten Drittanbieter-Anwendung.

2. Gib eine Redirect-URI deiner Drittanbieter-Anwendung an. Dies ist die URL, zu der die Drittanbieter-Anwendung Benutzer weiterleitet, nachdem sie von Logto authentifiziert wurden. Diese Informationen findest du normalerweise auf der IdP-Verbindungsseite der Drittanbieter-Anwendung.

   

   (Logto unterstützt mehrere Redirect-URIs. Du kannst weitere Redirect-URIs hinzufügen, indem du auf die Weiteren hinzufügen-Schaltfläche klickst.)

3. Kopiere die Client-ID und Client-Secret von Logto und gib sie in die IdP-Verbindungseinstellungen deines Dienstanbieters ein.

   

4. Kopiere den OIDC Discovery Endpoint von Logto und gib ihn in die IdP-Verbindungseinstellungen deines Dienstanbieters ein.

   Der OIDC Discovery Endpoint ist eine URL, die der Dienstanbieter verwenden kann, um die OIDC-Konfigurationsdetails des IdP zu entdecken. Er enthält Informationen wie den Autorisierungsendpunkt, den Token-Endpunkt und den Benutzerinfo-Endpunkt, die dein Dienstanbieter benötigt, um Benutzer mit Logto zu authentifizieren.

   

Kontrollpunkt#

Mit allen OIDC-Konfigurationsdetails an Ort und Stelle kannst du Logto jetzt als Drittanbieter-IdP für deine Anwendungen verwenden. Teste die Integration auf deiner Drittanbieter-Anwendung, um sicherzustellen, dass Benutzer sich mit ihren Logto-Konten anmelden können.

Anwendungsberechtigungen verwalten#

Anders als Erstanbieter-Anwendungen gehören Drittanbieter-Anwendungen nicht Logto. Sie werden normalerweise von Drittanbieter-Diensteanbietern betrieben, die Logto als externen IdP zur Authentifizierung von Benutzern verwenden. Beispielsweise sind Slack, Zoom und Notion alles Drittanbieter-Anwendungen.

Es ist wichtig sicherzustellen, dass du den Drittanbieter-Anwendungen die richtigen Berechtigungen gewährst, wenn sie Zugriff auf die Informationen deiner Benutzer anfordern. Logto ermöglicht es dir, die Berechtigungen deiner Drittanbieter-Anwendungen zu verwalten, einschließlich der Benutzerprofilbereiche, API-Ressourcenbereiche und Organisationsbereiche.

Das Anfordern nicht aktivierter Bereiche führt zu einem Fehler. Dies dient dem Schutz der Informationen deiner Benutzer und stellt sicher, dass nur die Drittanbieter-Anwendungen, denen du vertraust, darauf zugreifen können. Sobald die Bereiche aktiviert sind, können die Drittanbieter-Anwendungen Zugriff auf diese aktivierten Bereiche anfordern. Diese Bereiche werden auf der Einwilligungsseite für deine Benutzer angezeigt, um Zugriff auf die Drittanbieter-Anwendungen zu gewähren.

Bitte sieh dir unseren Artikel Benutzereinwilligungsbildschirm an, um mehr darüber zu erfahren, was ein Benutzereinwilligungsbildschirm ist.

Füge Berechtigungen zu deinen Drittanbieter-Anwendungen hinzu#

Gehe auf die Anwendungsdetails-Seite und navigiere zum Berechtigungen-Tab. Klicke auf die Berechtigungen hinzufügen-Schaltfläche, um die Berechtigungen deiner Drittanbieter-Anwendungen hinzuzufügen.

Benutzerberechtigungen (Benutzerprofilbereiche)#

Diese Berechtigungen sind OIDC-Standard und Logtos wesentliche Benutzerprofilbereiche, die zum Zugriff auf Benutzeransprüche verwendet werden. Benutzeransprüche werden entsprechend im ID-Token und Benutzerinfo-Endpunkt zurückgegeben.

API-Ressourcenberechtigungen (API-Ressourcenbereiche)#

Logto bietet RBAC (Rollenbasierte Zugriffskontrolle) für API-Ressourcen. API-Ressourcen sind die Ressourcen, die im Besitz deines Dienstes sind und von Logto geschützt werden. Du kannst selbst definierte API-Bereiche den Drittanbieter-Anwendungen zuweisen, um auf deine API-Ressourcen zuzugreifen. Wenn du nicht weißt, wie du diese API-Ressourcenbereiche verwendest, sieh dir bitte unsere RBAC und Schütze deine API Anleitungen an.

Du kannst deine API-Ressourcenbereiche auf der API-Ressourcen-Seite in der Logto-Konsole erstellen und verwalten.

Organisationsberechtigungen (Organisationsbereiche)#

Organisationsberechtigungen sind die Bereiche, die ausschließlich für Logto-Organisationen definiert sind. Sie werden zum Zugriff auf Organisationsinformationen und -ressourcen verwendet. Um mehr über Organisationen zu erfahren und wie du Organisationsbereiche verwendest, sieh dir unsere Organisations Anleitung an.

Um deine Organisationsbereiche zu erstellen und verwalten, gehe zur Organisationstemplate-Seite in der Logto-Konsole. Siehe Konfiguriere Organisationen für mehr Details.

Einwilligungsseite#

Sobald alle Berechtigungen aktiviert sind, können die Drittanbieter-Anwendungen Zugriff auf die aktivierten Berechtigungen anfordern. Diese Berechtigungen werden auf der Einwilligungsseite für deine Benutzer angezeigt, um Zugriff auf die Drittanbieter-Anwendungen zu gewähren.

Durch Klicken auf die Autorisieren-Schaltfläche gewährt der Benutzer den Drittanbieter-Anwendungen Zugriff auf diese angeforderten Berechtigungen.

Passe den Einwilligungsbildschirm an#

Last but not least, ist es wichtig sicherzustellen, dass die Markierungsinformationen und der Datenschutzhinweis des Drittanbieters den Benutzern korrekt angezeigt werden, wenn sie zur Einwilligungsseite der Drittanbieter-Anwendung weitergeleitet werden.

Abgesehen von der universellen Anmeldeerfahrung von Erstanbieter-Anwendungen, ermöglicht Logto es dir, diese zusätzlichen Markierungsinformationen deiner Drittanbieter-Anwendungen anzupassen, einschließlich des Anwendungsnamens, des Logos und des Links zu den Bedingungen.

1. Gehe zur Logto-Konsole und navigiere zur Detailseite der Drittanbieter-Anwendung.

2. Navigiere zum Markierung-Tab.

   

• Anzeigename: Der Name der Drittanbieter-Anwendung, der auf der Einwilligungsseite angezeigt wird. Er repräsentiert den Namen der Drittanbieter-Anwendung, die Zugriff auf die Informationen deiner Benutzer anfordert. Der Anwendungsname wird verwendet, wenn dieses Feld leer gelassen wird.
• Logo: Das Logo der Drittanbieter-Anwendung, das auf der Einwilligungsseite angezeigt wird. Es repräsentiert die Marke der Drittanbieter-Anwendung, die Zugriff auf die Informationen deiner Benutzer anfordert. Sowohl das Logo der Drittanbieter-Anwendung als auch das Logo der universellen Anmeldeerfahrung von Logto werden auf der Einwilligungsseite angezeigt, wenn beide bereitgestellt werden.
• Dunkles Logo: Nur verfügbar, wenn die Dunkelmodus-Anmeldeerfahrung aktiviert ist. Verwalte die Dunkelmodus-Einstellungen auf der Anmeldeerfahrung-Seite.
• Bedingungen-Link: Der Bedingungen-Link der Drittanbieter-Anwendung, der auf der Einwilligungsseite angezeigt wird.
• Datenschutzhinweis-Link: Der Datenschutzhinweis-Link der Drittanbieter-Anwendung, der auf der Einwilligungsseite angezeigt wird.

Zusammenfassung#

Herzlichen Glückwunsch! Du hast Logto erfolgreich als Drittanbieter-IdP für deine Anwendungen integriert. Durch die Konfiguration der OIDC-Einstellungen hast du einen robusten und sicheren Mechanismus für die Authentifizierung und Autorisierung von Benutzern etabliert. Mit Logto hast du nun einen reibungslosen Prozess, um Benutzer zu authentifizieren und ihren Zugriff auf beliebige Drittanbieter-Anwendungen zu regulieren.