Microsoft Entra ID, ook bekend als Azure Active Directory (Azure AD), is een uitgebreide identiteit- en toegangsbeheeroplossing die je een robuuste set mogelijkheden biedt om gebruikers en groepen te beheren. Veel organisaties gebruiken Azure AD om hun gebruikers en groepen te beheren, en het is ook een populaire keuze voor single sign-on (SSO) integratie. Azure AD ondersteunt zowel OpenID Connect (OIDC) als Security Assertion Markup Language (SAML) protocollen voor SSO-integratie. In deze tutorial laten we je eerst zien hoe je je Logto-applicatie met Azure SAML SSO integreert. ## Vereisten Voordat we beginnen, zorg ervoor dat je een actief Azure-account hebt. Als je er geen hebt, kun je je [hier](https://azure.microsoft.com) aanmelden voor een gratis Azure-account. Een Logto-cloudaccount. Als je er geen hebt, ben je van harte welkom om je aan te melden voor een Logto-account. Logto is gratis voor persoonlijk gebruik. Alle functies zijn beschikbaar voor ontwikkelhuurders, inclusief de SSO-functie. Een goed geïntegreerde Logto-applicatie is ook nodig. Als je er geen hebt, volg dan de [integratiehandleiding](https://docs.logto.io/docs/recipes/integrate-logto/) om een Logto-applicatie te maken. ## Integratie ### Maak een nieuwe Azure SAML SSO-connector in Logto 1. Bezoek je [Logto Cloud Console](https://cloud.logto.io) en navigeer naar de **Enterprise SSO**-pagina. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_4b0bc0149e.webp) 2. Klik op de knop **Add Enterprise SSO** en selecteer **Microsoft Entra ID (SAML)** als de SSO-leverancier. azure connector

Laten we het Azure-portaal in een ander tabblad openen en de stappen volgen om een bedrijfsapplicatie aan te maken aan de Azure-zijde. ### Maak een Azure ondernemingsapplicatie 1. Ga naar het [Azure-portaal](https://portal.azure.com/) en meld je aan als beheerder. 2. Selecteer de service `Microsoft Entra ID`. 3. Navigeer naar de `Enterprise applications` via het zijmenu. Klik `New application`, en selecteer `Create your own application` op het bovenste menu. 4. Voer de applicatienaam in en selecteer `Integrate any other application you don't find in the gallery (Non-gallery)`. Create Application

5. Zodra de applicatie is aangemaakt, selecteer `Setup single sign-on` > `SAML` om de SAML SSO-instellingen te configureren. Setup SSO

6. Open de eerste sectie `Basic SAML Configuration` en kopieer en plak de volgende informatie van Logto. Entity ID

- **Audience URI (SP Entity ID)**: Het fungeert als een wereldwijd unieke identificatie voor je Logto-service, en dient als de EntityId voor SP tijdens authenticatieverzoeken aan de IdP. Deze identificatie is cruciaal voor de veilige uitwisseling van SAML-verklaringen en andere authenticatie-gerelateerde gegevens tussen de IdP en Logto. - **ACS URL**: De Assertion Consumer Service (ACS) URL is de locatie waar de SAML-verklaring wordt verzonden via een POST-verzoek. Deze URL wordt door de IdP gebruikt om de SAML-verklaring naar Logto te sturen. Het fungeert als een callback-URL waar Logto verwacht de SAML-respons te ontvangen en te verwerken die de gebruikersidentiteit bevat. SP Configuration

Klik `Save` om de configuratie op te slaan. ### Verstrek de SAML IdP-metadata aan Logto Zodra de SAML SSO-applicatie is aangemaakt in Azure, zal je de SAML IdP-metadata configuratie aan Logto verstrekken. De metadata-configuratie bevat het openbare certificaat van de SAML IdP en de SAML SSO-eindpunt. 1. Logto biedt drie verschillende manieren om de SAML-metadata te configureren. De eenvoudigste manier is via de metadata-URL. Je kunt de metadata-URL vinden in het Azure-portaal. Kopieer de `App Federation Metadata Url` van de `SAML Certificates section` van je Azure AD SSO-applicatie en plak deze in het `Metadata URL`-veld in Logto.

2. Klik op de knop opslaan en Logto zal de metadata van de URL ophalen en de SAML SSO-integratie automatisch configureren. Metadata Configuration

### Configureren van de gebruikersattributen-mapping Logto biedt een flexibele manier om de gebruikersattributen die door de IdP worden geretourneerd te mappen naar de gebruikersattributen in Logto. De volgende gebruikersattributen van de IdP worden standaard gesynchroniseerd met Logto: - id: De unieke identificatie van de gebruiker. Logto zal de `nameID`-claim van de SAML-respons lezen als de gebruikers SSO-identiteits-id. - email: Het e-mailadres van de gebruiker. Logto zal standaard de `email`-claim van de SAML-respons lezen als het primaire e-mailadres van de gebruiker. - name: De naam van de gebruiker. Je kunt de logica van het mappen van gebruikersattributen beheren aan zowel de Azure AD-zijde als de Logto-zijde. 1. Map de AzureAD-gebruikersattributen naar Logto-gebruikersattributen aan de Logto-zijde. Bezoek de sectie `Attributes & Claims` van je Azure AD SSO-applicatie. Kopieer de volgende attribuutnamen (met namespace-prefix) en plak ze in de overeenkomstige velden in Logto. - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress` - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name` (Aanbeveling: werk deze attribuutwaarde-mapping bij naar `user.displayname` voor een betere gebruikerservaring) Default Attributes Mapping

2. Map de AzureAD-gebruikersattributen naar Logto-gebruikersattributen aan de AzureAD-zijde. Bezoek de sectie `Attributes & Claims` van je Azure AD SSO-applicatie. Klik op `Edit` en werk de velden `Additional claims` bij op basis van de Logto-gebruikersattributeninstellingen: - werk de claimnaamwaarde bij op basis van de Logto-gebruikersattributeninstellingen. - verwijder de namespace-prefix. - klik `Save` om door te gaan. Eindig met de volgende instellingen: Logto Attributes

Je kunt ook extra gebruikersattributen specificeren aan de Azure AD-zijde. Logto zal een registratie bijhouden van de originele gebruikersattributen geretourneerd door de IdP onder het `sso_identity`-veld van de gebruiker. ### Wijs gebruikers toe aan de Azure SAML SSO-applicatie Je moet gebruikers toewijzen aan de Azure SAML SSO-applicatie om de SSO-ervaring voor hen te activeren. Bezoek de sectie `Users and groups` van je Azure AD SSO-applicatie. Klik op `Add user/group` om gebruikers toe te wijzen aan de Azure AD SSO-applicatie. Alleen gebruikers die zijn toegewezen aan je Azure AD SSO-applicatie kunnen zich authentiseren via de Azure AD SSO-connector. Assign Users

## Schakel de Azure SAML SSO-connector in Logto in ### Stel e-maildomein in en schakel de Azure SAML SSO-connector in Logto in Verstrek de e-mail `domains` van je organisatie op het `experience`-tabblad van de SAML SSO-connector van Logto. Dit zal de SSO-connector als een authenticatiemethode inschakelen voor die gebruikers. Email Domain

Gebruikers met e-mailadressen in de gespecificeerde domeinen zullen uitsluitend beperkt zijn tot het gebruik van de SAML SSO-connector als hun enige authenticatiemethode. ### Schakel de Azure SAML SSO-connector in de aanmeldingservaring van Logto in Ga naar het tabblad `Sign-in Experience` en schakel de enterprise SSO in. ![Enable SSO](https://uploads.strapi.logto.io/1/enable_sso_0eba3b36e8.webp) Nu kun je de SSO-integratie testen door de live preview-knop in de rechterbovenhoek van de sectie `Sign-in Experience preview` te gebruiken. Neem gerust [contact met ons op](https://logto.io/contact) als je vragen of verzoeken hebt met betrekking tot de enterprise SSO integratie. We helpen je graag!