Utilizzare Logto come provider di identità esterno (IdP)

Logto è una piattaforma di gestione delle identità e degli accessi (IAM) basata su cloud che fornisce un set completo di capacità di autenticazione, autorizzazione e gestione degli utenti. Può essere utilizzato come provider di identità (IdP) per le tue applicazioni o servizi di terze parti, permettendoti di autenticare gli utenti e gestire il loro accesso a queste applicazioni.

In questo articolo, spiegheremo come configurare Logto come IdP per le tue applicazioni di terze parti e come utilizzarlo per autenticare gli utenti e gestire i loro permessi.

Cos'è un provider di identità (IdP)?#

Un provider di identità (IdP) è un servizio che verifica le identità degli utenti e gestisce le loro credenziali di accesso. Dopo aver confermato l'identità di un utente, l'IdP genera token di autenticazione o asserzioni e permette all'utente di accedere a varie applicazioni o servizi senza bisogno di effettuare nuovamente il login. Essenzialmente, è il sistema di riferimento per gestire le identità e i permessi dei dipendenti nella tua impresa.

Cos'è un IdP di terze parti?#

Un IdP di terze parti è un IdP che appartiene a un'organizzazione diversa da quella del provider di servizi (SP). L'SP sta richiedendo l'accesso ai dati dell'utente che non sono di sua proprietà. Ad esempio, se stai utilizzando Logto come tuo IdP e accedi a un'app social di terze parti, allora Logto è un IdP di terze parti per quell'app social.

Nel mondo reale, molte applicazioni utilizzano Google, Facebook o altri servizi di terze parti come loro IdP. Si chiama Single Sign-On (SSO). Per saperne di più su SSO, consulta il nostro articolo CIAM 101: Autenticazione, Identità, SSO.

Ora vediamo come integrare Logto come IdP di terze parti per le tue applicazioni.

Come integrare un IdP di terze parti per le tue applicazioni e le migliori pratiche#

Prerequisiti#

• Prima di iniziare, devi avere un account Logto. Se non ne hai uno, puoi registrarti per un account gratuito su Logto.

• Un'applicazione di terze parti per la quale vuoi impostare Logto come IdP. Gli utenti possono accedere con i loro account Logto.

Creare un'applicazione OIDC di terze parti in Logto#

Per creare un'applicazione OIDC di terze parti in Logto, segui questi passaggi:

1. Vai al Logto Console e naviga alla pagina Applicazioni.

2. Clicca sul pulsante crea applicazione situato nell'angolo in alto a destra della pagina. Seleziona "App di terze parti -> OIDC" come tipo di applicazione.

   

3. Compila i dettagli di base dell'applicazione, inclusi nome e descrizione, nel pop-up modale. Clicca il pulsante crea. Questo genererà una nuova entità di applicazione di terze parti in Logto e passerà alla pagina dei dettagli.

   

Configurare la configurazione OIDC#

Segui questi passaggi per configurare le impostazioni OIDC nella pagina dei dettagli dell'applicazione:

1. Naviga alla pagina dettagli dell'applicazione dell'applicazione di terze parti che hai appena creato.

2. Fornisci un URI di reindirizzamento della tua applicazione di terze parti. Questo è l'URL che l'applicazione di terze parti utilizzerà per reindirizzare gli utenti dopo che sono stati autenticati da Logto. Di solito puoi trovare queste informazioni nella pagina delle impostazioni di connessione IdP dell'applicazione di terze parti.

   

   (Logto supporta più URI di reindirizzamento. Puoi aggiungere più URI di reindirizzamento cliccando sul pulsante Aggiungi un altro.)

3. Copia il client ID e il client secret da Logto ed inseriscili nella pagina delle impostazioni di connessione IdP del tuo provider di servizi.

   

4. Copia l'endpoint di discovery OIDC da Logto ed inseriscilo nella pagina delle impostazioni di connessione IdP del tuo provider di servizi.

   L'endpoint di discovery OIDC è un URL che il provider di servizi può utilizzare per scoprire i dettagli della configurazione OIDC dell'IdP. Contiene informazioni come l'endpoint di autorizzazione, l'endpoint del token e l'endpoint delle informazioni utente che il tuo provider di servizi ha bisogno per autenticare gli utenti con Logto.

   

Punto di controllo#

Con tutti i dettagli di configurazione OIDC in ordine, puoi ora utilizzare Logto come IdP di terze parti per le tue applicazioni. Testa l'integrazione sulla tua applicazione di terze parti per assicurarti che gli utenti possano accedere con i loro account Logto.

Gestire i permessi delle applicazioni#

A differenza delle applicazioni di prima parte, le applicazioni di terze parti sono applicazioni che non sono di proprietà di Logto. Sono solitamente di proprietà di fornitori di servizi di terze parti che utilizzano Logto come IdP esterno per autenticare gli utenti. Ad esempio, Slack, Zoom e Notion sono tutte applicazioni di terze parti.

È importante assicurarsi di concedere i permessi corretti alle applicazioni di terze parti quando richiedono l'accesso alle informazioni dei tuoi utenti. Logto ti permette di gestire i permessi delle tue applicazioni di terze parti, inclusi gli ambiti del profilo utente, gli ambiti delle risorse API e gli ambiti dell'organizzazione.

Richiedere ambiti non abilitati risulterà in un errore. Questo serve a garantire che le informazioni dei tuoi utenti siano protette e accessibili solo dalle applicazioni di terze parti di cui ti fidi. Una volta che gli ambiti sono abilitati, le applicazioni di terze parti possono richiedere l'accesso a questi ambiti abilitati. Questi ambiti saranno visualizzati nella pagina del consenso per i tuoi utenti per revisione e concessione di accesso alle applicazioni di terze parti.

Consulta il nostro articolo Schermata di consenso utente per ulteriori dettagli su cosa sia una schermata di consenso utente.

Aggiungere permessi alle tue applicazioni di terze parti#

Vai alla pagina Dettagli dell'applicazione e naviga nella scheda Permessi. Clicca sul pulsante Aggiungi permessi per aggiungere i permessi delle tue applicazioni di terze parti.

Permessi utente (ambiti profilo utente)#

Questi permessi sono gli ambiti standard OIDC e gli ambiti essenziali del profilo utente di Logto utilizzati per l'accesso ai claim degli utenti. I claim degli utenti saranno restituiti nel token ID e nell'endpoint userinfo di conseguenza.

Permessi delle risorse API (ambiti delle risorse API)#

Logto fornisce RBAC (controllo degli accessi basato sui ruoli) per le risorse API. Le risorse API sono le risorse di proprietà del tuo servizio e sono protette da Logto. Puoi assegnare ambiti API definiti da te alle applicazioni di terze parti per accedere alle tue risorse API. Se non sai come utilizzare questi ambiti delle risorse API, consulta le nostre guide RBAC e proteggi la tua API.

Puoi creare e gestire i tuoi ambiti delle risorse API nella pagina Risorse API nel console di Logto.

Permessi dell'organizzazione (ambiti dell'organizzazione)#

I permessi dell'organizzazione sono gli ambiti definiti esclusivamente per le organizzazioni Logto. Sono utilizzati per l'accesso alle informazioni e risorse dell'organizzazione. Per saperne di più sulle organizzazioni e su come utilizzare gli ambiti dell'organizzazione, consulta la nostra guida organizzazione.

Per creare e gestire i tuoi ambiti dell'organizzazione, vai alla pagina Modello di organizzazione nel console di Logto. Consulta Configura le organizzazioni per ulteriori dettagli.

Pagina di consenso#

Una volta che tutti i permessi sono abilitati, le applicazioni di terze parti possono richiedere l'accesso ai permessi abilitati. Questi permessi saranno visualizzati sulla pagina di consenso per i tuoi utenti per revisione e concessione di accesso alle applicazioni di terze parti.

Cliccando sul pulsante Autorizza, l'utente concederà l'accesso alle applicazioni di terze parti per accedere a quei permessi richiesti.

Personalizza la schermata di consenso#

Ultimo ma non meno importante, è importante assicurarsi che le informazioni sul marchio di terze parti e il link alla privacy siano correttamente visualizzati agli utenti quando vengono reindirizzati alla pagina di consenso dell'applicazione di terze parti.

Oltre all'esperienza di accesso universale delle applicazioni di prima parte, Logto ti permette di personalizzare queste informazioni sul marchio aggiuntive delle tue applicazioni di terze parti, inclusi il nome dell'applicazione, il logo e il link ai termini.

1. Vai al Logto Console e naviga alla pagina dei dettagli dell'applicazione di terze parti.

2. Naviga nella scheda Branding.

   

• Nome visualizzato: Il nome dell'applicazione di terze parti che sarà visualizzato sulla pagina di consenso. Rappresenterà il nome dell'applicazione di terze parti che sta richiedendo l'accesso alle informazioni dei tuoi utenti. Il nome dell'applicazione sarà utilizzato se questo campo è lasciato vuoto.
• Logo: Il logo dell'applicazione di terze parti che sarà visualizzato sulla pagina di consenso. Rappresenterà il marchio dell'applicazione di terze parti che sta richiedendo l'accesso alle informazioni dei tuoi utenti. Sia il logo dell'applicazione di terze parti che il logo dell'esperienza di accesso universale di Logto saranno visualizzati sulla pagina di consenso se entrambi sono forniti.
• Dark logto: Disponibile solo quando è abilitata l'esperienza di accesso in modalità scura. Gestisci le impostazioni della modalità scura alla pagina Sign-in experience.
• Terms link: Il link ai termini dell'applicazione di terze parti che sarà visualizzato sulla pagina di consenso.
• Privacy link: Il link alla privacy dell'applicazione di terze parti che sarà visualizzato sulla pagina di consenso.

Riepilogo#

Congratulazioni! Hai integrato efficacemente Logto come IdP di terze parti per le tue applicazioni. Configurando le impostazioni OIDC, hai stabilito un meccanismo robusto e sicuro per l'autenticazione e l'autorizzazione degli utenti. Con Logto in atto, ora hai un processo fluido per autenticare gli utenti e regolare il loro accesso a qualsiasi applicazione di terze parti.