Logton käyttäminen kolmannen osapuolen identiteettipalveluntarjoajana (IdP)

Logto on pilvipohjainen identiteetin- ja pääsynhallinta (IAM) -alusta, joka tarjoaa kattavan valikoiman todennus-, valtuutus- ja käyttäjienhallintakykyjä. Sitä voidaan käyttää identiteettipalveluntarjoajana (IdP) kolmannen osapuolen sovelluksillesi tai palveluille, mikä mahdollistaa käyttäjien todennuksen ja heidän pääsynsä hallinnan näihin sovelluksiin.

Tässä artikkelissa selitämme, kuinka Logto konfiguroidaan IdP:ksi kolmannen osapuolen sovelluksillesi ja kuinka sitä käytetään käyttäjien todentamiseen ja heidän oikeuksiensa hallintaan.

Mikä on identiteettipalveluntarjoaja (IdP)?#

Identiteettipalveluntarjoaja (IdP) on palvelu, joka tarkistaa käyttäjien identiteetit ja hallitsee heidän kirjautumistietojaan. Vahvistettuaan käyttäjän identiteetin, IdP luo todennustunnuksia tai -väitteitä ja sallii käyttäjän päästä käsiksi eri sovelluksiin tai palveluihin ilman uudelleen kirjautumista. Pohjimmiltaan se on yrityksen sisäinen järjestelmä työntekijöiden identiteettien ja käyttöoikeuksien hallintaan.

Mikä on kolmannen osapuolen IdP?#

Kolmannen osapuolen IdP on IdP, joka kuuluu eri organisaatiolle kuin palveluntarjoajalle (SP). SP hakee pääsyä käyttäjätietoihin, joita se itse ei omista. Esimerkiksi, jos käytät Logtoa IdP:nä ja kirjaudut kolmannen osapuolen sosiaaliseen sovellukseen, Logto on kolmannen osapuolen IdP sosiaaliselle sovellukselle.

Todellisessa maailmassa monet sovellukset käyttävät Googlea, Facebookia tai muita kolmannen osapuolen palveluja IdP:nään. Tätä kutsutaan kertakirjautumiseksi (SSO). Lisätietoja SSO:sta löydät artikkelistamme CIAM 101: Authentication, Identity, SSO.

Katsotaanpa nyt, kuinka Logto integroidaan kolmannen osapuolen IdP:ksi sovelluksillesi.

Kuinka integroida kolmannen osapuolen IdP sovelluksiisi ja sen parhaat käytännöt#

Ehdot#

• Ennen kuin aloitat, sinun on oltava Logto-tili. Jos sinulla ei ole sellaista, voit rekisteröityä ilmaiseksi Logto.

• Kolmannen osapuolen sovellus, johon haluat asettaa Logton IdP:ksi. Käyttäjät voivat kirjautua sisään Logto-tileillään.

Luo kolmannen osapuolen OIDC-sovellus Logtossa#

Luoaksesi kolmannen osapuolen OIDC-sovelluksen Logtossa, toimi seuraavasti:

1. Mene Logto Console ja siirry Sovellukset-sivulle.

2. Napsauta luo sovellus -painiketta, joka sijaitsee sivun oikeassa yläkulmassa. Valitse sovellustyypiksi "Kolmannen osapuolen sovellus -> OIDC".

   

3. Täytä perussovelluksen tiedot, mukaan lukien nimi ja kuvaus, avautuvassa modaalissa. Klikkaa luo -painiketta. Tämä luo uuden kolmannen osapuolen sovellusyksikön Logtoon ja siirtyy yksityiskohtasivulle.

   

Aseta OIDC-konfiguraatio#

Noudata näitä ohjeita konfiguroidaksesi OIDC-asetukset sovelluksen yksityiskohtasivulla:

1. Siirry sovelluksen tiedot -sivulle, jolle juuri loit kolmannen osapuolen sovelluksen.

2. Anna kolmannen osapuolen sovelluksesi uudelleenohjaus URI. Tämä on URL-osoite, jolle kolmannen osapuolen sovellus ohjaa käyttäjiä sen jälkeen, kun Logto on todennut heidät. Löydät yleensä nämä tiedot kolmannen osapuolen sovelluksen IdP-yhteysasetusten sivulta.

   

   (Logto tukee useita uudelleenohjaus URI:ita. Voit lisätä lisää uudelleenohjaus URI:ita klikkaamalla Lisää toinen -painiketta.)

3. Kopioi Logtosta client ID ja client secret ja syötä ne palveluntarjoajan IdP-yhteysasetusten sivulle.

   

4. Kopioi Logtosta OIDC discovery endpoint ja syötä se palveluntarjoajasi IdP-yhteysasetusten sivulle.

   OIDC discovery endpoint on URL-osoite, jonka palveluntarjoaja voi käyttää löytääkseen IdP:n OIDC-konfiguraatiotiedot. Se sisältää tietoja, kuten valtuutusendpointin, tunnuspään ja käyttäjätietopään, joita palveluntarjoajasi tarvitsee käyttäjien todennuksessa Logton kanssa.

   

Tarkistuspiste#

Kun kaikki OIDC-konfiguraation tiedot ovat paikoillaan, voit nyt käyttää Logtoa kolmannen osapuolen IdP:nä sovelluksissasi. Testaa integraatiota kolmannen osapuolen sovelluksellasi varmistaaksesi, että käyttäjät voivat kirjautua Logto-tilinsä avulla.

Sovelluksen käyttöoikeuksien hallinta#

Toisin kuin ensisijaisilla sovelluksilla, kolmannen osapuolen sovellukset eivät ole Logton omistuksessa. Ne ovat yleensä kolmannen osapuolen palveluntarjoajien omistamia, jotka käyttävät Logtoa ulkoisena IdP:nä käyttäjien tunnistamiseksi. Esimerkiksi Slack, Zoom ja Notion ovat kaikki kolmannen osapuolen sovelluksia.

On tärkeää varmistaa, että kolmannen osapuolen sovelluksille myönnetään oikeat käyttöoikeudet, kun ne pyytävät pääsyä käyttäjiesi tietoihin. Logto mahdollistaa kolmannen osapuolen sovellustesi käyttöoikeuksien hallinnan, mukaan lukien käyttäjäprofiilin alueet, API-resurssialueet ja organisaatioalueet.

Jos pyydetään ei-sallittuja alueita, aiheutuu virhe. Tämä on varmistettu suojaamaan käyttäjiesi tiedot ja tekemään ne käytettävissä vain luotettujen kolmannen osapuolen sovellusten käyttöön. Kun alueet on sallittu, kolmannen osapuolen sovellukset voivat pyytää pääsyä näille sallitoille alueille. Nämä alueet näytetään suostumusnäytöllä käyttäjiesi tarkasteltavaksi ja pääsyn myöntämiseksi kolmannen osapuolen sovelluksille.

Tutustu artikkeliimme Käyttäjän suostumusnäyttö saadaksesi lisää tietoa siitä, mikä on käyttäjän suostumusnäyttö.

Lisää käyttöoikeuksia kolmannen osapuolen sovelluksiisi#

Mene Sovelluksen tiedot -sivulle ja siirry Käyttöoikeudet -välilehteen. Klikkaa Lisää käyttöoikeudet -painiketta ja kolmannen osapuolen sovellustesi oikeudet lisätään.

Käyttäjän käyttöoikeudet (Käyttäjäprofiilin alueet)#

Nämä oikeudet ovat OIDC-standardeja ja Logton olennaisia käyttäjäprofiilin alueita, joita käytetään käyttäjävoitteiden käyttöön. Käyttäjävoitteet palautetaan ID-tunnuksessa ja käyttäjätietopäässä vastaavasti.

API-resurssien käyttöoikeudet (API-resurssialueet)#

Logto tarjoaa RBAC (roolipohjainen käyttöoikeuksien hallinta) API-resursseille. API-resurssit ovat palvelusi omistamia resursseja, joita Logto suojaa. Voit määrittää itse määriteltyjä API-alueita kolmannen osapuolen sovelluksille, jotta ne pääsevät API-resursseihisi. Jos et tiedä, miten näitä API-resurssialueita käytetään, tarkista RBAC sekä suojata API:si oppaamme.

Voit luoda ja hallita API-resurssialueitasi Logton konsolin API-resurssit -sivulla.

Organisaation käyttöoikeudet (Organisaatioalueet)#

Organisaation käyttöoikeudet ovat Logto-organisaatioille yksinomaan määriteltyjä alueita. Niitä käytetään organisaation tietojen ja resurssien käyttöön. Lisätietoja organisaatioista ja niiden käyttöoikeuksista saat tutustumalla organisaatio oppaaseemme.

Luodaksesi ja hallitaksesi organisaatioalueitasi siirry Logton konsolin Organisaatiomalli -sivulle. Katso Organisaatioiden konfigurointi saadaksesi lisätietoja.

Suostumusnäyttö#

Kun kaikki käyttöoikeudet ovat sallittuja, kolmannen osapuolen sovellukset voivat pyytää pääsyä sallittuihin käyttöoikeuksiin. Näitä käyttöoikeuksia näytetään suostumusnäytössä käyttäjiesi tarkasteltavaksi ja pääsyn myöntämiseksi kolmannen osapuolen sovelluksille.

Napsauttamalla Valtuuta -painiketta, käyttäjä myöntää pääsyn kolmannen osapuolen sovelluksille pyydettyjen käyttöoikeuksien käyttöön.

Mukauta suostumusnäyttöä#

Viimeisen mutta ei vähäisimpänä on tärkeää varmistaa, että kolmannen osapuolen bränditiedot ja tietosuojalinkki näytetään oikein käyttäjille, kun heidät ohjataan kolmannen osapuolen sovelluksen suostumusnäyttöön.

Logto sallii sinulle mukauttaa näitä kolmannen osapuolen sovellustesi lisäbränditietoja, mukaan lukien sovelluksen nimi, logo ja käyttöehtolinkki, ensisijaisten sovellusten yleisen kirjautumiskokemuksen lisäksi.

1. Mene Logto Console ja siirry kolmannen osapuolen sovelluksen yksityiskohtaisivulle.

2. Siirry Brändäys -välilehteen.

   

• Näyttönimi: Kolmannen osapuolen sovelluksen nimi, joka näytetään suostumusnäytössä. Se edustaa kolmannen osapuolen sovelluksen nimeä, joka pyytää pääsyä käyttäjiesi tietoihin. Sovelluksen nimi käytetään, jos tämä kenttä jätetään tyhjäksi.
• Logo: Kolmannen osapuolen sovelluksen logo, joka näytetään suostumusnäytössä. Se edustaa kolmannen osapuolen sovelluksen brändiä, joka pyytää pääsyä käyttäjiesi tietoihin. Sekä kolmannen osapuolen sovelluksen logo että Logto:n yleinen kirjautumiskokemuksen logo näkyvät suostumusnäytössä, jos molemmat on annettu.
• Tumma logto: Saatavana vain, kun tumman tilan kirjautumiskokemus on käytössä. Hallitse tumman tilan asetuksia Kirjautumiskokemus -sivulla.
• Käyttöehtolinkki: Kolmannen osapuolen sovelluksen käyttöehtolinkki, joka näytetään suostumusnäytössä.
• Tietosuojalinkki: Kolmannen osapuolen sovelluksen tietosuojalinkki, joka näytetään suostumusnäytössä.

Yhteenveto#

Onnittelut! Olet onnistuneesti integroidut Logto:n kolmannen osapuolen IdP:ksi sovelluksillesi. Konfiguroimalla OIDC-asetukset olet luonut vankan ja turvallisen mekanismin käyttäjien todennukselle ja valtuutukselle. Logto:n avulla sinulla on nyt sujuva prosessi käyttäjien todentamiseen ja heidän pääsynsä hallintaan mihin tahansa kolmannen osapuolen sovelluksiin.