## Johdanto Logto on pilvipohjainen identiteetin ja pääsynhallinnan (IAM) alusta, joka tarjoaa kattavan joukon todennus-, valtuutus- ja käyttäjähallintatoimintoja. Sitä voidaan käyttää identiteetin tarjoajana (IdP) kolmannen osapuolen sovelluksillesi tai palveluillesi, jolloin voit todennella käyttäjiä ja hallita heidän pääsyään näihin sovelluksiin. Tässä artikkelissa selitämme, miten Logto konfiguroidaan IdP:ksi kolmannen osapuolen sovelluksillesi ja miten voit käyttää sitä käyttäjien todennuksessa ja heidän käyttölupien hallinnassa. ### Mikä on identiteetin tarjoaja (IdP)? Identiteetin tarjoaja (IdP) on palvelu, joka varmistaa käyttäjien identiteetit ja hallitsee heidän kirjautumistietojaan. Käyttäjän identiteetin vahvistamisen jälkeen IdP luo todennustokenit tai -väitteet ja sallii käyttäjän pääsyn eri sovelluksiin tai palveluihin ilman, että hänen tarvitsee kirjautua uudelleen sisään. Periaatteessa se on järjestelmä, joka hallinnoi työntekijöiden identiteettejä ja oikeuksia yrityksessäsi. ### Mikä on kolmannen osapuolen IdP? Kolmannen osapuolen IdP on IdP, joka on eri organisaation kuin palveluntarjoaja (SP) omistuksessa. SP pyytää pääsyä käyttäjätietoihin, joita se ei itse omista. Esimerkiksi, jos käytät Logtoa IdP:näsi ja kirjaudut kolmannen osapuolen sosiaaliseen sovellukseen, Logto on kyseiselle sosiaaliselle sovellukselle kolmannen osapuolen IdP. Todellisessa maailmassa monet sovellukset käyttävät Googlea, Facebookia tai muita kolmannen osapuolen palveluita IdP:nään. Tätä kutsutaan kertakirjautumiseksi (SSO). Jos haluat oppia lisää SSO:sta, tutustu artikkeliimme [CIAM 101: Authentication, Identity, SSO](https://blog.logto.io/ciam-101-intro-authn-sso/). Nyt katsotaan, miten Logto voidaan integroida kolmannen osapuolen IdP:ksi sovelluksillesi. ## Integraatio ### Alkutoimet - Ennen aloittamista tarvitset Logto-tilin. Jos sinulla ei ole tiliä, voit rekisteröityä ilmaiseksi osoitteessa [Logto](https://logto.io). - Kolmannen osapuolen sovellus, johon haluat asettaa Logton IdP:ksi. Käyttäjät voivat kirjautua sisään Logto-tileillään. ### Luo kolmannen osapuolen OIDC-sovellus Logtohin Luo kolmannen osapuolen OIDC-sovellus Logtohin seuraavasti: 1. Siirry [Logto Console](https://cloud.logto.io) ja navigoi **Applications**-sivulle. 2. Klikkaa sivun oikeassa yläkulmassa olevaa **create application** -painiketta. Valitse "Third-party app -> OIDC" sovellustyypiksi. ![create application](https://uploads.strapi.logto.io/1/create_application_980965bcab.webp) 3. Täytä perussovelluksen tiedot, mukaan lukien **name** ja **description**, ponnahdusikkunassa. Klikkaa **create**-painiketta. Tämä luo uuden kolmannen osapuolen sovellusentiteetin Logtohin ja siirtyy yksityiskohtaiselle sivulle. ![application details](https://uploads.strapi.logto.io/1/application_details_de8c6e1e25.webp) ### Määritä OIDC-konfiguraatio Noudata näitä ohjeita konfiguroidaksesi OIDC-asetukset sovelluksen yksityiskohtien sivulla: 1. Siirry juuri luomasi kolmannen osapuolen sovelluksen **application details** -sivulle. 2. Anna kolmannen osapuolen sovelluksellesi **redirect URI**. Tämä on URL-osoite, johon kolmannen osapuolen sovellus ohjaa käyttäjiä sen jälkeen, kun Logto on todennut heidät. Voit yleensä löytää nämä tiedot kolmannen osapuolen sovelluksen IdP-yhteysasetusten sivulta.

_(Logto tukee useita redirect URI:ita. Voit lisätä lisää redirect URI:ita klikkaamalla **Add another** -painiketta.)_ 3. Kopioi **client ID** ja **client secret** Logto:sta ja syötä ne palveluntarjoajasi IdP-yhteysasetusten sivulle. client credentials

4. Kopioi **OIDC discovery endpoint** Logto:sta ja syötä se palveluntarjoajasi IdP-yhteysasetusten sivulle. OIDC discovery endpoint on URL-osoite, jonka palveluntarjoaja voi käyttää löytääkseen IdP:n OIDC-konfiguraatiotiedot. Se sisältää tiedot, kuten todennuspäätepisteen, token-päätepisteen ja käyttäjätietopäätepisteen, joita palveluntarjoajasi tarvitsee todennukseen Logtolla.

Jos palveluntarjoajasi ei tue OIDC discoverya, voit syöttää OIDC-konfiguraatiotiedot manuaalisesti palveluntarjoajasi IdP-yhteysasetusten sivulle. Klikkaa vain **show endpoint details** -painiketta hakeaksesi OIDC:n todennuspäätepisteet.

### Tarkistuspiste Kun kaikki OIDC-konfiguraatiotiedot ovat paikallaan, voit nyt käyttää Logtoa kolmannen osapuolen IdP:nä sovelluksillesi. Testaa integraatio kolmannen osapuolen sovelluksessasi varmistaaksesi, että käyttäjät voivat kirjautua sisään Logto-tileillään. ## Hallitse sovellusoikeuksia Toisin kuin ensisijaiset sovellukset, kolmannen osapuolen sovellukset eivät ole Logton omistamia. Ne ovat yleensä kolmannen osapuolen palveluntarjoajien omistamia, jotka käyttävät Logtoa ulkoisena IdP:nä todennukseen. Esimerkiksi Slack, Zoom ja Notion ovat kaikki kolmannen osapuolen sovelluksia. On tärkeää varmistaa, että oikeat oikeudet myönnetään kolmannen osapuolen sovelluksille, kun ne pyytävät pääsyä käyttäjiesi tietoihin. Logto mahdollistaa kolmannen osapuolen sovellustesi käyttöoikeuksien hallinnan, mukaan lukien käyttäjäprofiilin laajuudet, API-resurssien laajuudet ja organisaation laajuudet. Ei-aktivoitujen laajuuksien pyytäminen aiheuttaa virheen. Tämä varmistaa, että käyttäjiesi tiedot ovat suojattuja ja vain niiden kolmannen osapuolen sovellusten saatavissa, joihin luotat. Kun laajuudet on aktivoitu, kolmannen osapuolen sovellukset voivat pyytää pääsyä näihin aktivoituihin laajuuksiin. Näitä laajuuksia näytetään suostumusnäytöllä, jotta käyttäjäsi voivat tarkistaa ja myöntää pääsyn kolmannen osapuolen sovelluksille. Tutustu artikkeliimme [User consent screen](https://blog.logto.io/user-consent-screen/) saadaksesi lisätietoja siitä, mikä on käyttäjän suostumusnäyttö. ### Lisää oikeudet kolmannen osapuolen sovelluksiisi Siirry **Application details** -sivulle ja navigoi **Permissions**-välilehdelle. Klikkaa **Add permissions** -painiketta lisätäksesi kolmannen osapuolen sovellustesi oikeudet. ![permissions tab](https://uploads.strapi.logto.io/1/permission_settings_0a15be0852.webp) #### Käyttäjäoikeudet (Käyttäjäprofiilin laajuudet) Nämä oikeudet ovat OIDC-standardi ja Logton olennaiset käyttäjäprofiilin laajuudet, joita käytetään käyttäjäväittämien käyttämiseen. Käyttäjäväittämät palautetaan ID-tokenissa ja userinfo-päätepisteessä vastaavasti. user permissions

Ei-aktivoidun käyttäjäprofiililaajuuden pyytäminen valtuutuspyyntössä aiheuttaa virheen. #### API-resurssioikeudet (API-resurssien laajuudet) Logto tarjoaa RBAC:n (roolipohjainen pääsynhallinta) API-resursseille. API-resurssit ovat palvelusi omistamia resursseja, joita Logto suojaa. Voit määrittää itse määritellyt API-laajuudet kolmannen osapuolen sovelluksille, jotta ne pääsevät API-resursseihisi. Jos et tiedä, miten käyttää näitä API-resurssien laajuuksia, tutustu oppaisiimme [RBAC](https://docs.logto.io/docs/recipes/rbac/) ja [suojaa API:si](https://docs.logto.io/docs/recipes/protect-your-api/). api resource permissions

Voit luoda ja hallita API-resurssien laajuuksiasi Logto-konsolin **API resources** -sivulla. API-resurssin laajuudet, joita ei ole aktivoitu kolmannen osapuolen sovelluksille, jätetään huomioimatta valtuutuspyyntöä lähetettäessä. Ne eivät näy käyttäjän suostumusnäytöllä eivätkä ne myönnä Logtoa. #### Organisaation oikeudet (Organisaation laajuudet) Organisaation oikeudet ovat yksinomaan Logto-organisaatioille määriteltyjä laajuuksia. Niitä käytetään organisaatiotietojen ja -resurssien käyttämiseen. Jos haluat oppia lisää organisaatioista ja kuinka käyttää organisaation laajuuksia, tutustu oppaaseemme [organization](https://docs.logto.io/docs/recipes/organizations/understand-how-it-works). organization permissions

Voit luoda ja hallita organisaatiosi laajuuksia Logto-konsolin **Organization template** -sivulla. Katso [Configure organizations](https://docs.logto.io/docs/recipes/organizations/configuration) saadaksesi lisätietoja. Organisaation laajuudet, joita ei ole aktivoitu kolmannen osapuolen sovelluksille, jätetään huomioimatta valtuutuspyyntöä lähetettäessä. Ne eivät näy käyttäjän suostumusnäytöllä eivätkä ne myönnä Logtoa. ## Suostumusnäyttö Kun kaikki oikeudet on aktivoitu, kolmannen osapuolen sovellukset voivat pyytää pääsyä aktivoituihin oikeuksiin. Nämä oikeudet näytetään suostumusnäytöllä, jotta käyttäjäsi voivat tarkistaa ja myöntää pääsyn kolmannen osapuolen sovelluksille. consent permissions

Klikkaamalla **Authorize**-painiketta käyttäjä myöntää pääsyn kolmannen osapuolen sovelluksille näihin pyydettyihin käyttöoikeuksiin. ### Suostumusnäytön mukauttaminen Viimeisenä mutta ei vähäisimpänä, on tärkeää varmistaa, että kolmannen osapuolen bränditiedot ja tietosuojalinkki näytetään asianmukaisesti käyttäjille, kun heidät ohjataan kolmannen osapuolen sovelluksen suostumusnäyttöön. Ensimmäisen osapuolen sovellusten universaalin kirjautumiskokemuksen lisäksi Logto antaa sinun mukauttaa näitä kolmannen osapuolen sovellustesi bränditietoja, mukaan lukien sovelluksen nimi, logo ja käyttöehtojen linkki. 1. Siirry **Logto Console** ja navigoi kolmannen osapuolen sovelluksen yksityiskohtaiselle sivulle. 2. Navigate **Branding**-välilehdelle. ![branding tab](https://uploads.strapi.logto.io/1/branding_settings_4b087a964b.webp) - **Display name**: kolmannen osapuolen sovelluksen nimi, joka näytetään suostumusnäytöllä. Se edustaa kolmannen osapuolen sovelluksen nimeä, joka pyytää pääsyä käyttäjieesi tietoihin. Sovelluksen nimeä käytetään, jos tämä kenttä jätetään tyhjäksi. - **Logo**: kolmannen osapuolen sovelluksen logo, joka näytetään suostumusnäytöllä. Se edustaa kolmannen osapuolen sovelluksen brändiä, joka pyytää pääsyä käyttäjieesi tietoihin. Sekä kolmannen osapuolen sovelluksen logo että Logton universaalin kirjautumiskokemuksen logo näytetään suostumusnäytöllä, jos molemmat annetaan. - **Dark logto**: käytettävissä vain, kun pimeän tilan kirjautumiskokemus on käytössä. Hallitse pimeän tilan asetuksia **Sign-in experience** -sivulla. - **Terms link**: kolmannen osapuolen sovelluksen käyttöehtojen linkki, joka näytetään suostumusnäytöllä. - **Privacy link**: kolmannen osapuolen sovelluksen tietosuojalinkki, joka näytetään suostumusnäytöllä. ## Yhteenveto Onnittelut! Olet onnistuneesti integroinut Logton kolmannen osapuolen IdP:ksi sovelluksillesi. Konfiguroimalla OIDC-asetukset olet luonut vahvan ja turvallisen mekanismin käyttäjäntunnistukseen ja valtuutukseen. Logton avulla voit nyt sujuvasti todennella käyttäjiä ja hallita heidän pääsyään kaikkiin kolmannen osapuolen sovelluksiin. Kokeile Logtoa ilmaiseksi