## Einleitung Logto ist eine cloudbasierte Identitäts- und Zugriffsverwaltung (IAM) Plattform, die ein umfassendes Set an Authentifizierungs-, Autorisierungs- und Benutzermanagement-Funktionen bietet. Es kann als Identitätsanbieter (IdP) für deine Drittanbieter-Anwendungen oder -Dienste verwendet werden und ermöglicht es dir, Nutzer zu authentifizieren und ihren Zugriff auf diese Anwendungen zu verwalten. In diesem Artikel erklären wir, wie man Logto als IdP für deine Drittanbieter-Anwendungen konfiguriert und wie man es verwendet, um Nutzer zu authentifizieren und deren Berechtigungen zu verwalten. ### Was ist ein Identitätsanbieter (IdP)? Ein Identitätsanbieter (IdP) ist ein Dienst, der Benutzeridentitäten verifiziert und ihre Anmeldedaten verwaltet. Nach der Bestätigung der Identität eines Benutzers generiert der IdP Authentifizierungstoken oder -aussagen und ermöglicht dem Benutzer den Zugriff auf verschiedene Anwendungen oder Dienste, ohne sich erneut anmelden zu müssen. Im Wesentlichen ist es das zentrale System zur Verwaltung von Mitarbeiteridentitäten und Berechtigungen in deinem Unternehmen. ### Was ist ein Drittanbieter-IdP? Ein Drittanbieter-IdP ist ein IdP, der von einer anderen Organisation als dem Dienstanbieter (SP) betrieben wird. Der SP fordert den Zugriff auf Benutzerdaten an, die nicht von ihm selbst besessen werden. Zum Beispiel, wenn du Logto als deinen IdP verwendest und dich in eine Drittanbieter-Social-App einloggst, dann ist Logto ein Drittanbieter-IdP für die Social-App. In der realen Welt verwenden viele Anwendungen Google, Facebook oder andere Drittanbieter-Dienste als ihren IdP. Dies wird Single Sign-On (SSO) genannt. Um mehr über SSO zu erfahren, lies bitte unseren Artikel [CIAM 101: Authentifizierung, Identität, SSO](https://blog.logto.io/ciam-101-intro-authn-sso/). Nun lass uns sehen, wie man Logto als einen Drittanbieter-IdP in deine Anwendungen integriert. ## Integration ### Voraussetzungen - Bevor du beginnst, musst du ein Logto-Konto haben. Wenn du noch keins hast, kannst du dich kostenlos bei [Logto](https://logto.io) registrieren. - Eine Drittanbieter-Anwendung, bei der du Logto als IdP einrichten möchtest. Benutzer können sich mit ihren Logto-Konten anmelden. ### Erstelle eine Drittanbieter-OIDC-Anwendung in Logto Um eine Drittanbieter-OIDC-Anwendung in Logto zu erstellen, folge diesen Schritten: 1. Gehe zur [Logto-Konsole](https://cloud.logto.io) und navigiere zur **Anwendungen**-Seite. 2. Klicke auf die **Anwendung erstellen**-Schaltfläche oben rechts auf der Seite. Wähle "Drittanbieter-App -> OIDC" als Anwendungstyp aus. ![Anwendung erstellen](https://uploads.strapi.logto.io/1/create_application_980965bcab.webp) 3. Fülle die grundlegenden Anwendungsdetails, einschließlich des **Namens** und der **Beschreibung**, im Pop-up-Modul aus. Klicke auf die **erstellen**-Schaltfläche. Dies generiert eine neue Drittanbieter-Anwendungsentität in Logto und springt zur Detailseite. ![Anwendungsdetails](https://uploads.strapi.logto.io/1/application_details_de8c6e1e25.webp) ### Richten Sie die OIDC-Konfiguration ein Folgen Sie diesen Schritten, um die OIDC-Einstellungen auf der Anwendungsdetailseite zu konfigurieren: 1. Navigieren Sie zur **Anwendungsdetails**-Seite der eben erstellten Drittanbieter-Anwendung. 2. Geben Sie eine **Redirect-URI** Ihrer Drittanbieter-Anwendung an. Dies ist die URL, zu der die Drittanbieter-Anwendung Benutzer nach ihrer Authentifizierung durch Logto umleitet. Diese Informationen findest du normalerweise auf der IdP-Verbindungseinstellungsseite der Drittanbieter-Anwendung. Redirect URI

_(Logto unterstützt mehrere Redirect-URIs. Du kannst weitere Redirect-URIs hinzufügen, indem du auf die **weitere hinzufügen**-Schaltfläche klickst.)_ 3. Kopiere die **Client-ID** und das **Client-Geheimnis** von Logto und trage sie auf der IdP-Verbindungseinstellungsseite deines Dienstanbieters ein. Client-Berechtigungen

4. Kopiere den **OIDC-Discovery-Endpunkt** von Logto und trage ihn auf der IdP-Verbindungseinstellungsseite deines Dienstanbieters ein. Der OIDC-Discovery-Endpunkt ist eine URL, die der Dienstanbieter verwenden kann, um die OIDC-Konfigurationsdetails des IdP zu entdecken. Es enthält Informationen wie den Autorisierungsendpunkt, Token-Endpunkt und Benutzerinfo-Endpunkt, die dein Dienstanbieter benötigt, um Benutzer mit Logto zu authentifizieren. Discovery-Endpunkt

Wenn dein Dienstanbieter keine OIDC-Discovery unterstützt, kannst du die OIDC-Konfigurationsdetails manuell in die IdP-Verbindungseinstellungsseite deines Dienstanbieters eingeben. Klicke einfach auf die **Endpunktdetails anzeigen**-Schaltfläche, um die OIDC-Authentifizierungsendpunkte abzurufen.

### Prüfpunkt Mit allen OIDC-Konfigurationsdetails kannst du nun Logto als Drittanbieter-IdP für deine Anwendungen nutzen. Teste die Integration in deiner Drittanbieter-Anwendung, um sicherzustellen, dass sich Benutzer mit ihren Logto-Konten anmelden können. ## Anwendungsberechtigungen verwalten Im Gegensatz zu Erstanbieteranwendungen sind Drittanbieteranwendungen Anwendungen, die nicht von Logto betrieben werden. Sie werden normalerweise von Drittanbietern betrieben, die Logto als externen IdP zur Nutzer-Authentifizierung verwenden. Zum Beispiel sind Slack, Zoom und Notion alles Drittanbieteranwendungen. Es ist wichtig sicherzustellen, dass du Drittanbieteranwendungen die richtigen Berechtigungen erteilst, wenn sie Zugriff auf die Informationen deiner Benutzer anfordern. Logto ermöglicht es dir, die Berechtigungen deiner Drittanbieteranwendungen zu verwalten, einschließlich Benutzerprofilbereichen, API-Ressourcenbereichen und Organisationsbereichen. Das Anfordern nicht aktivierter Bereiche führt zu einem Fehler. Dies stellt sicher, dass die Informationen deiner Benutzer geschützt sind und nur von den Drittanbieteranwendungen zugänglich sind, denen du vertraust. Sobald die Bereiche aktiviert sind, können die Drittanbieteranwendungen den Zugriff auf diese aktivierten Bereiche anfordern. Diese Bereiche werden auf der Einwilligungsseite für deine Benutzer angezeigt, um den Zugriff zu prüfen und zu genehmigen. Bitte lies unseren Artikel [Benutzereinwilligungsbildschirm](https://blog.logto.io/user-consent-screen/) für mehr Details darüber, was ein Benutzereinwilligungsbildschirm ist. ### Berechtigungen zu deinen Drittanbieteranwendungen hinzufügen Gehe zur **Anwendungsdetails**-Seite und navigiere zum **Berechtigungen**-Tab. Klicke auf die **Berechtigungen hinzufügen**-Schaltfläche, um die Berechtigungen deiner Drittanbieteranwendungen zu verwalten. ![Berechtigungen Tab](https://uploads.strapi.logto.io/1/permission_settings_0a15be0852.webp) #### Benutzerberechtigungen (Benutzerprofilbereiche) Diese Berechtigungen sind OIDC-Standard- und Logto's wesentliche Benutzerprofilbereiche, die für den Zugriff auf Benutzeransprüche verwendet werden. Benutzeransprüche werden entsprechend im ID-Token und Benutzerinfo-Endpunkt zurückgegeben.

Das Anfordern eines nicht aktivierten Benutzerprofilbereichs in der Autorisierungsanfrage führt zu einem Fehler. #### API-Ressourcenberechtigungen (API-Ressourcenbereiche) Logto bietet RBAC (Rollenbasierte Zugriffskontrolle) für API-Ressourcen. API-Ressourcen sind die Ressourcen, die von deinem Dienst besessen werden und durch Logto geschützt sind. Du kannst selbstdefinierte API-Bereiche den Drittanbieteranwendungen zuweisen, um auf deine API-Ressourcen zuzugreifen. Wenn du nicht weißt, wie du diese API-Ressourcenbereiche verwenden kannst, lies bitte unsere [RBAC](https://docs.logto.io/docs/recipes/rbac/) und [Schütze deine API](https://docs.logto.io/docs/recipes/protect-your-api/) Leitfäden. API-Ressourcenberechtigungen

Du kannst deine API-Ressourcenbereiche auf der Seite **API-Ressourcen** in der Logto-Konsole erstellen und verwalten. API-Ressourcenbereiche, die nicht für die Drittanbieteranwendungen aktiviert wurden, werden bei einer Autorisierungsanfrage ignoriert. Sie werden nicht auf der Benutzereinwilligungsseite angezeigt und nicht von Logto gewährt. #### Organisationsberechtigungen (Organisationsbereiche) Organisationsberechtigungen sind die Bereiche, die ausschließlich für Logto-Organisationen definiert sind. Sie werden für den Zugriff auf Organisationsinformationen und Ressourcen verwendet. Um mehr über Organisationen und die Verwendung von Organisationsbereichen zu erfahren, lies bitte unseren [Organisations](https://docs.logto.io/docs/recipes/organizations/understand-how-it-works) Leitfaden. Organisationsberechtigungen

Um deine Organisationsbereiche zu erstellen und zu verwalten, gehe zur **Organisationstemplate**-Seite in der Logto-Konsole. Siehe [Organisationen konfigurieren](https://docs.logto.io/docs/recipes/organizations/configuration) für mehr Details. Organisationsbereiche, die nicht für die Drittanbieteranwendungen aktiviert wurden, werden bei einer Autorisierungsanfrage ignoriert. Sie werden nicht auf der Benutzereinwilligungsseite angezeigt und nicht von Logto gewährt. ## Einwilligungsseite Sobald alle Berechtigungen aktiviert sind, können die Drittanbieteranwendungen den Zugriff auf die aktivierten Berechtigungen anfordern. Diese Berechtigungen werden auf der Einwilligungsseite für deine Benutzer angezeigt, um den Zugriff zu prüfen und den Drittanbieteranwendungen zu gewähren. Einwilligungsberechtigungen

Durch Klicken auf die **Autorisieren**-Schaltfläche gewährt der Benutzer den Drittanbieteranwendungen den Zugriff auf die angeforderten Berechtigungen. ### Passe den Einwilligungsbildschirm an Nicht zuletzt ist es wichtig sicherzustellen, dass die Markeninformationen und der Datenschutzlink des Drittanbieters den Benutzern korrekt angezeigt werden, wenn sie zur Einwilligungsseite der Drittanbieteranwendung weitergeleitet werden. Neben dem universellen Anmeldeerlebnis von Erstanbieteranwendungen ermöglicht dir Logto, diese zusätzlichen Markeninformationen deiner Drittanbieteranwendungen anzupassen, einschließlich des Anwendungsnamens, des Logos und des Nutzungsbedingungen-Links. 1. Gehe zur **Logto-Konsole** und navigiere zur Detailseite der Drittanbieteranwendung. 2. Navigiere zum **Branding**-Tab. ![Branding Tab](https://uploads.strapi.logto.io/1/branding_settings_4b087a964b.webp) - **Anzeigename**: Der Name der Drittanbieteranwendung, der auf der Einwilligungsseite angezeigt wird. Er repräsentiert den Namen der Drittanbieteranwendung, die Zugriff auf die Informationen deiner Benutzer anfordert. Der Anwendungsname wird verwendet, wenn dieses Feld leer bleibt. - **Logo**: Das Logo der Drittanbieteranwendung, das auf der Einwilligungsseite angezeigt wird. Es repräsentiert die Marke der Drittanbieteranwendung, die Zugriff auf die Informationen deiner Benutzer anfordert. Sowohl das Logo der Drittanbieteranwendung als auch das Logto-Logo des universellen Anmeldeerlebnisses werden auf der Einwilligungsseite angezeigt, wenn beide bereitgestellt werden. - **Dunkles Logto**: Nur verfügbar, wenn das Anmeldeerlebnis im Dark-Mode aktiviert ist. Verwaltet die Dark-Mode-Einstellungen auf der **Anmeldeerlebnis**-Seite. - **Nutzungsbedingungen-Link**: Der Nutzungsbedingungen-Link der Drittanbieteranwendung, der auf der Einwilligungsseite angezeigt wird. - **Datenschutz-Link**: Der Datenschutz-Link der Drittanbieteranwendung, der auf der Einwilligungsseite angezeigt wird. ## Zusammenfassung Herzlichen Glückwunsch! Du hast Logto erfolgreich als Drittanbieter-IdP für deine Anwendungen integriert. Durch die Konfiguration der OIDC-Einstellungen hast du einen robusten und sicheren Mechanismus für Benutzer-Authentifizierung und -Autorisierung geschaffen. Mit Logto an Ort und Stelle hast du nun einen reibungslosen Prozess, um Benutzer zu authentifizieren und ihren Zugriff auf jegliche Drittanbieteranwendungen zu regulieren. Probiere Logto kostenlos aus