Microsoft Entra ID, joka tunnetaan myös nimellä Azure Active Directory (Azure AD), on kattava identiteetin ja pääsyn hallintaratkaisu, joka tukee sekä OpenID Connect (OIDC) että Security Assertion Markup Language (SAML) protokollia kertakirjautumisintegrointia (SSO) varten. Edellisessä opetusohjelmassa näytimme, kuinka voit integroida Logto-sovelluksesi Microsoft Entra ID (SAML) SSO:n kanssa. Tässä opetusohjelmassa näytämme, kuinka voit integroida Logto-sovelluksesi Microsoft Entra ID (OIDC) SSO:n kanssa. ## Edellytykset Kuten tavallista, ennen kuin aloitamme, varmista, että sinulla on aktiivinen Microsoft Entra tai Azure -tili. Jos sinulla ei ole sellaista, voit rekisteröityä ilmaiseksi Microsoft-tilille [täällä](https://entra.microsoft.com/). Logto-pilvitili. Jos sinulla ei ole sellaista, olet erittäin tervetullut rekisteröitymään [Logto](https://logto.io) -tilille. Logto on ilmainen henkilökohtaiseen käyttöön. Kaikki ominaisuudet ovat saatavissa kehittäjävuokralaisille, mukaan lukien SSO-ominaisuus. Hyvin integroitu Logto-sovellus on myös tarpeen. Jos sinulla ei ole sellaista, seuraa [integraatio-opasta](https://docs.logto.io/docs/recipes/integrate-logto/) luodaksesi Logto-sovelluksen. ## Integraatio ### Luo uusi Microsoft Entra ID OIDC SSO-liitin Logtoon 1. Vieraile [Logto Cloud Console](https://cloud.logto.io) -sivulla ja siirry kohtaan **Enterprise SSO**. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_57cf85aae8.webp) 2. Napsauta **Add Enterprise SSO** -painiketta ja valitse **Microsoft Entra ID (OIDC)** SSO-palveluntarjoajana. azure connector

Avaa nyt Microsoft Entra -hallintakeskus toisessa välilehdessä ja seuraa ohjeita luodaksesi OIDC-sovellus Microsoft Entralle. ### Rekisteröi uusi Microsoft Entra ID OIDC -sovellus 1. Mene [Microsoft Entra -hallintakeskus](https://entra.microsoft.com/) ja kirjaudu sisään järjestelmänvalvojana. 2. Selaa kohtaan Identity > Applications > App registrations. Create Application

3. Valitse `New registration`. 4. Syötä sovelluksen nimi ja valitse sovelluksellesi sopiva tilin käyttöoikeustyyppi. 5. Valitse `Web` sovellusalustaksi. Syötä sovelluksen uudelleenohjaus-URI. Uudelleenohjaus-URI on URL, johon käyttäjä uudelleenohjataan sen jälkeen, kun hän on todentautunut Microsoft Entra ID:llä. 6. Kopioi `Redirect URI (Callback URL)` Logto-liitin sivulta ja liitä se `Redirect URI` -kenttään. Configure Application

6. Klikkaa `Register` luodaksesi sovelluksen. ### Määritä SSO-yhteys Logtossa Kun Microsoft Entra OIDC -sovellus on luotu onnistuneesti, sinun on annettava IdP-konfiguraatiot takaisin Logtoon. Siirry Logto-konsolissa `Connection`-välilehdelle ja täytä seuraavat määritykset: 1. **Client ID**: Yksilöllinen tunniste, jonka Microsoft Entra on määrittänyt OIDC-sovelluksellesi. Tätä tunnistetta Logto käyttää sovelluksen tunnistamiseen ja todentamiseen OIDC-prosessin aikana. Löydät sen sovelluksen yleiskatsaus-sivulta nimellä `Application (client) ID`. Application Details

2. **Client Secret**: Luo uusi client secret ja kopioi sen arvo Logtoon. Tätä salaisuutta käytetään OIDC-sovelluksen todentamiseen ja viestinnän turvallisuuden varmistamiseen Logton ja IdP:n välillä. Create Secret

3. **Issuer**: Julkaisijan URL, joka on IdP:n yksilöllinen tunniste ja määrittää sijainnin, josta OIDC-identiteettipalveluntarjoajan voi löytää. Se on tärkeä osa OIDC-konfiguraatiota, sillä se auttaa Logtoa löytämään tarvittavat päätepisteet. Sen sijaan, että kaikki nämä OIDC-päätepisteet määriteltäisiin manuaalisesti, Logto hakee automaattisesti kaikki tarvittavat konfiguraatiot ja IdP-päätepisteet. Tämä tehdään käyttämällä antamaasi julkaisijan URL-osoitetta ja ottamalla yhteys IdP:n kulkuväylän loppupisteeseen. Julkaisijan URL-osoitteen löytämiseksi voit etsiä sen sovelluksen yleiskatsaus-sivun `Endpoints`-osiosta. Etsi `OpenID Connect metadata document` -loppupiste ja kopioi URL **ILMAN** lopetuspolkua `.well-known/openid-configuration`. Tämä johtuu siitä, että Logto lisää automaattisesti `.well-known/openid-configuration` julkaisijan URL:iin hakiessaan OIDC-konfiguraatioita. Endpoints

4. **Scope**: Välilyönneillä erotettu merkkijonolista, joka määrittää Logton OIDC-todentamisprosessin aikana pyytämät käyttöoikeudet tai pääsytasot. Scope-parametrin avulla voit määrittää, mitä tietoja ja oikeuksia Logto pyytää IdP:ltä. Scope-parametri on valinnainen. Riippumatta mukautetuista scope-asetuksista, Logto lähettää aina `openid`, `profile` ja `email` scopet IdP:lle. Klikkaa `Save` viimeistelläksesi määritysprosessin. ## Ota Microsoft Entra ID (OIDC) -liitin käyttöön Logtossa ### Aseta sähköpostialue ja ota käyttöön Microsoft Entra ID (OIDC) -liitin Logtossa Anna organisaatiosi sähköpostin `domains` Logton SAML SSO-liittimen `experience`-välilehdellä. Tämä ottaa SSO-liittimen käyttöön todentamismenetelmänä kyseisille käyttäjille. Email Domain

Käyttäjät, joilla on määritellyillä alueilla olevat sähköpostiosoitteet, rajoitetaan yksinomaan käyttämään SAML SSO -liitintä ainoana todentamismenetelmänään. ### Ota Microsoft Entra ID (OIDC) -liitin käyttöön Logton kirjautumiskokemuksessa Mene `Sign-in Experience` -välilehdelle ja ota Enterprise SSO käyttöön. ![Enable SSO](https://uploads.strapi.logto.io/1/enable_sso_89a18cafae.webp) Nyt voit testata SSO-integraation käyttämällä live-esikatselupainiketta `Sign-in Experience preview` -osiossa oikeassa yläkulmassa.