Suomi
  • saml
  • azure
  • ad
  • sso

Kuinka integroida Azure AD (Entra ID) SAML SSO todennuskumppanin kanssa

Opi integroimaan Azure AD SSO Logtoon käyttämällä standardia SAML-liitintä.

Simeng
Simeng
Developer

Logto tarjoaa valmiista paketista SAML-liittimen, joka voidaan integroida SSO-identiteettipalveluntarjoajien kanssa. Jokaisella palveluntarjoajalla on omat erityiset tiedot, jotka tulee määrittää. Tämä opas ohjaa sinua vaihe vaiheelta, kuinka integroit Azure AD:n Logton kanssa.

Luo uusi SAML-sosiaaliliitin Logtossa

  1. Vieraile Logto Cloud -konsolissasi ja siirry liitin-osioon.

  2. Vaihda Sosiaaliliittimet-välilehdelle ja napsauta Lisää sosiaaliliitin -painiketta oikeassa yläkulmassa.

    Logto Pilvikonsoli

  3. Valitse SAML-liitin.

    SAML-liitin

    Sinulle esitetään SAML-liittimen luomislomake:

    Liittimen luomislomake

  4. Täytä liittimen yleiset tiedot

    Liittimen yleiset tiedot

    Kentän nimiKuvaus
    Nimi sosiaalikirjautumispainikkeelleSosiaalikirjautumispainikkeen nimi, joka näytetään kirjautumissivulla.
    Logo-URL sosiaalikirjautumispainikkeelleLogo-URL sosiaalikirjautumispainikkeelle, joka näytetään kirjautumissivulla.
    Identiteettipalveluntarjoajan nimiIdentiteettipalveluntarjoajan nimi. Tämä voi auttaa tunnistamaan kohdepalveluntarjoajan liittimestä.
    Synkronoi profiilitiedotSynkronoidaanko käyttäjäprofiilitiedot identiteettipalveluntarjoajalta vain alkuperäisen rekisteröinnin jälkeen tai jokaisen kirjautumiskerran jälkeen.
  5. Aseta Kohteen tunnus (Entity Id) ja Väittämän kuluttajan palvelun URL (Assertion Consumer Service URL)

    Kohteen tunnus ja Väittämän kuluttajan palvelun URL

    "Entity ID" ja "ACS URL" ovat olennaisia osia SAML-vaihtoprosessissa identiteetti- ja palveluntarjoajien välillä.

    SP Entity ID: Entity ID on yksilöllinen tunniste, joka edustaa SAML-entiteettiä SAML-pohjaisessa järjestelmässä. Sitä käytetään erottamaan eri osallistujat SAML-vaihdossa. SP Entity ID auttaa sekä IdP:a että tunnistamaan pyyntöajan ja luomaan luottamuksen.

    ACS URL (Assertion Consumer Service URL): ACS URL on palveluntarjoajan (Logto) tarjoama erityinen päätepiste, johon identiteettipalveluntarjoaja (IdP) lähettää SAML-väittämän onnistuneen todennuksen jälkeen. Kun käyttäjä todennetaan IdP:n toimesta, IdP luo SAML-väittämän, joka sisältää käyttäjän attribuutit ja allekirjoittaa sen sähköisesti. Tämän jälkeen IdP lähettää tämän väittämän SP:n ACS URL:ään. SP validoi väittämän, purkaa käyttäjän attribuutit ja kirjaa käyttäjän sisään.

    Kentän nimiKuvausEsimerkki
    SP-kohteen tunnus (Yleisö)SP Entiteetti, jota AzureAD käyttää tunnistamaan Logton identiteetti. On suositeltavaa käyttää Logto-tenantti-päätepistettä EntiteettiID:nä.https://<tenantti-id>.logto.app
    IdP yksittäinen kirjautumisen URLIdP sisäänkirjautumisen päätepiste. Valinnainen Azuren kanssa. Tätä kenttää käytetään SP:n tunnistamiseen IdP-aloitteisen kirjautumissession tunnistamiseksi. Tällä hetkellä Logto EI tue IdP-aloitteista kirjautumissessiota. Jätä tämä kenttä tyhjäksi
    X.509-sertifikaattiIdP-sertifikaatti, jota käytetään SAML-väittämän allekirjoittamiseen. (Tämä sertifikaatti haetaan AzureAD:sta myöhemmin)
    IdP-metatieto XML-muodossaIdP-metatietojen XML-tiedoston sisältö. (Tämä tiedosto haetaan AzureAD:sta myöhemmin)
    Väittämän kuluttajan palvelun URLACS URL SP:lle. SP (Logto) päätepiste vastaanottamaan SAML-vaatimuspäätöksiä. Korvaa Tenant-ID ja Connector-ID omilla.https://<tenantti-id>.logto.app/api/authn/saml/<liitin-id>

Luo SAML SSO -sovellus Azure-portaalissa

  1. Kirjaudu sisään Azure Active Directory -hallintapaneeliin. Valitse “Yrityssovellukset”.

    “Yrityssovellus

  2. Valitse “Uusi sovellus” → “Luo oma sovellus”.

    Luo oma sovellus

  3. Ota käyttöön SAML-sovellus.

    Ota käyttöön SAML-sovellus

  4. Täytä kokoonpano EntityId ja ACS URL, jotka olet määrittänyt Logtoon.

    SAML-sovelluksen kokoonpano

  5. Määritä käyttäjän attribuutit ja väittämät

    Voit määrittää käyttäjän attribuutit napsauttamalla "Muokkaa"-painiketta "Käyttäjän attribuutit ja väittämät" -osiossa.

    Käyttäjän attribuutit ja väittämät

    Logto vaatii seuraavien peruskäyttäjän attribuuttien lähettämistä SAML-väittämässä:

    Väittämän nimiAttribuutin nimi
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mail
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.name
  6. Määritä ryhmät ja käyttäjät SAML-sovellukseen Jotta käyttäjät tai käyttäjäryhmät voidaan todentaa, meidän on määritettävä ne AzureAD:n SAML-sovellukseen. Valitse “Käyttäjät ja ryhmät” “Hallinta”-osio navikaatiovalikosta. Valitse sitten “Lisää käyttäjä/ryhmä”.

    Määritä käyttäjät ja ryhmät

  7. Hanki AzureAD IdP tiedot lataamalla sertifikaatit ja metatiedostot. Lataa Federation Metadata XML -tiedosto ja Certificate (Base64) -tiedosto napsauttamalla "lataa"-painiketta. Tarvitset näitä tiedostoja SAML-liitimen luomisen suorittamiseksi Logtossa.

    Lataa IdP metatiedot ja sertifikaatti

Viimeistele SAML-yhteyden luominen takaisin Logtoon

Siirry takaisin Logto Cloud -konsolin SAML-liittimen luomislomakkeeseen ja jatka IdP-tietojen täyttämistä. Kopioi IdP-metatietojen XML-tiedoston sisältö IdP-metatietokenttään. Liitä IdP-sertifikaatti IdP-sertifikaattikenttään.

IdP-tiedot

Aseta käyttäjäprofiilin kartoitus

Perustuen AzureAD-käyttäjäväittämän asetuksiin, voit jatkaa avainkartoitusasetusten asettamista Logtossa:

Logto käytettävissä olevat käyttäjäkentät ovat:

Napsauta “Tallenna ja valmis”.

Ota SAML-liitin käyttöön

Kun olet suorittanut SAML-liittimen luomisen, voit ottaa liittimen käyttöön siirtymällä "Kirjautumiskokemus"-osioon ja lisäämällä liittimen "Sosiaalikirjautumisen" menetelmänä:

Ota SAML-liitin käyttöön

Vahvista AzureAD SSO -kirjautumisesi esikatselu demo-sovelluksellamme:

AzureAD SSO -kirjautuminen

Onnittelut! Olet onnistuneesti integroinut AzureAD SSO:n Logton kanssa. Voit nyt käyttää AzureAD:tä kirjautuaksesi Logto-tilillesi.