Microsoft Entra ID, znany także jako Azure Active Directory (Azure AD), to kompleksowe rozwiązanie do zarządzania tożsamością i dostępem, które umożliwia zarządzanie użytkownikami i grupami. Wiele organizacji korzysta z Azure AD do zarządzania swoimi użytkownikami i grupami, a także jest to popularny wybór do integracji logowania jednokrotnego (SSO). Azure AD obsługuje zarówno protokoły OpenID Connect (OIDC), jak i Security Assertion Markup Language (SAML) w integracji SSO. W tym poradniku pokażemy, jak zintegrować swoją aplikację Logto z Azure SAML SSO w pierwszej kolejności. ## Wymagania wstępne Zanim zaczniemy, upewnij się, że posiadasz aktywne konto Azure. Jeśli go nie masz, możesz zarejestrować się na bezpłatne konto Azure [tutaj](https://azure.microsoft.com). Konto w Logto w chmurze. Jeśli go nie masz, serdecznie zapraszamy do założenia konta Logto. Logto jest bezpłatne do użytku osobistego. Wszystkie funkcje są dostępne dla środowisk deweloperskich, w tym funkcja SSO. Wymagana jest również dobrze zintegrowana aplikacja Logto. Jeśli jej nie masz, zapoznaj się z [przewodnikiem integracji](https://docs.logto.io/docs/recipes/integrate-logto/), aby utworzyć aplikację Logto. ## Integracja ### Utwórz nowy konektor Azure SAML SSO w Logto 1. Odwiedź [Logto Cloud Console](https://cloud.logto.io) i przejdź do strony **Enterprise SSO**. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_4b0bc0149e.webp) 2. Kliknij przycisk **Add Enterprise SSO** i wybierz **Microsoft Enrtra Id (SAML)** jako dostawcę SSO. azure connector

Otwórz portal Azure w innym oknie i wykonaj kroki, aby utworzyć aplikację przedsiębiorstwa po stronie Azure. ### Utwórz aplikację przedsiębiorstwa w Azure 1. Przejdź do [portalu Azure](https://portal.azure.com/) i zaloguj się jako administrator. 2. Wybierz usługę `Microsoft Entra ID`. 3. Przejdź do `Aplikacje przedsiębiorstwa` za pomocą menu bocznego. Kliknij `Nowa aplikacja` i wybierz `Utwórz swoją własną aplikację` w górnym menu. 4. Wprowadź nazwę aplikacji i wybierz `Zintegruj dowolną inną aplikację, której nie ma w galerii (pozagaleria)`. Create Application

5. Po utworzeniu aplikacji wybierz `Skonfiguruj logowanie jednokrotne` > `SAML`, aby skonfigurować ustawienia SAML SSO. Setup SSO

6. Otwórz sekcję `Podstawowa konfiguracja SAML` i skopiuj następujące informacje z Logto. Entity ID

- **Audience URI(SP Entity ID)**: Reprezentuje globalnie unikatowy identyfikator dla usługi Logto, działający jako EntityId dla SP podczas żądań uwierzytelnienia do IdP. Ten identyfikator jest kluczowy dla bezpiecznej wymiany asercji SAML i innych danych związanych z uwierzytelnieniem między IdP a Logto. - **ACS URL**: URL Usługi Konsumpcji Asercji (ACS) to miejsce, do którego wysyłana jest asercja SAML za pomocą żądania POST. Ten URL jest używany przez IdP do wysyłania asercji SAML do Logto. Działa jako URL zwrotny, gdzie Logto oczekuje na otrzymanie i skonsumowanie odpowiedzi SAML zawierającej informacje o tożsamości użytkownika. SP Configuration

Kliknij `Zapisz`, aby zapisać konfigurację. ### Podaj metadane IdP SAML do Logto Po utworzeniu aplikacji SAML SSO w Azure, podasz konfigurację metadanych SAML IdP do Logto. Konfiguracja metadanych zawiera certyfikat publiczny IdP SAML i punkt końcowy SAML SSO. 1. Logto oferuje trzy różne sposoby na konfigurację metadanych SAML. Najłatwiejszym sposobem jest użycie URL metadanych. Możesz znaleźć URL metadanych w portalu Azure. Skopiuj `URL Metadanych Federacji Aplikacji` z sekcji `Certyfikaty SAML` aplikacji SSO w Azure AD i wklej go w pole `URL Metadanych` w Logto. Metadata URL

2. Kliknij przycisk zapisz i Logto pobierze metadane z URL i automatycznie skonfiguruje integrację SAML SSO. Metadata Configuration

### Konfiguracja mapowania atrybutów użytkownika Logto oferuje elastyczny sposób mapowania atrybutów użytkownika zwracanych przez IdP na atrybuty użytkownika w Logto. Następujące atrybuty użytkownika z IdP zostaną zsynchronizowane z Logto domyślnie: - id: Unikalny identyfikator użytkownika. Logto odczyta żądanie `nameID` z odpowiedzi SAML jako identyfikator tożsamości SSO użytkownika. - email: Adres e-mail użytkownika. Logto odczyta żądanie `email` z odpowiedzi SAML jako główny adres e-mail użytkownika domyślnie. - name: Nazwa użytkownika. Możesz zarządzać logiką mapowania atrybutów użytkownika zarówno po stronie Azure AD, jak i Logto. 1. Mapowanie atrybutów użytkownika AzureAD na atrybuty użytkownika Logto po stronie Logto. Odwiedź sekcję `Atrybuty i Żądania` swojej aplikacji SSO w Azure AD. Skopiuj następujące nazwy atrybutów (wraz z prefiksem przestrzeni nazw) i wklej je w odpowiednie pola w Logto. - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress` - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name` (Zalecenie: zaktualizuj mapowanie wartości tego atrybutu na `user.displayname`, aby uzyskać lepsze doświadczenie użytkownika) Default Attributes Mapping

2. Mapowanie atrybutów użytkownika AzureAD na atrybuty użytkownika Logto po stronie AzureAD. Odwiedź sekcję `Atrybuty i Żądania` swojej aplikacji SSO w Azure AD. Kliknij `Edytuj` i zaktualizuj pola `Dodatkowe żądania` na podstawie ustawień atrybutów użytkownika Logto: - zaktualizuj wartość żądania nazwy na podstawie ustawień atrybutów użytkownika Logto. - usuń prefiks przestrzeni nazw. - kliknij `Zapisz`, aby kontynuować. Powinieneś zakończyć z następującymi ustawieniami: Logto Attributes

Możesz także dokładniej określić dodatkowe atrybuty użytkownika po stronie Azure AD. Logto przechowuje oryginalne atrybuty użytkownika zwrócone przez IdP w polu tożsamości użytkownika `sso_identity`. ### Przypisz użytkowników do aplikacji Azure SAML SSO Musisz przypisać użytkowników do aplikacji Azure SAML SSO, aby umożliwić im doświadczenie SSO. Odwiedź sekcję `Użytkownicy i grupy` aplikacji SSO w Azure AD. Kliknij `Dodaj użytkownika/grupę`, aby przypisać użytkowników do aplikacji SSO w Azure AD. Tylko użytkownicy przypisani do aplikacji SSO w Azure AD będą mogli uwierzytelniać się przez konektor SSO w Azure AD. Assign Users

## Włącz konektor Azure SAML SSO w Logto ### Ustaw domenę e-mail i włącz konektor Azure SAML SSO w Logto Podaj `domeny` e-mail swojej organizacji na karcie `doświadczenia` konektora SAML SSO w Logto. To włączy konektor SSO jako metodę uwierzytelniania dla tych użytkowników. Email Domain

Użytkownicy z adresami e-mail w określonych domenach będą imali wyłącznie limit korzystania z konektora SAML SSO jako jedynej metody uwierzytelniania. ### Włącz konektor Azure SAML SSO w doświadczeniu logowania w Logto Przejdź do zakładki `Doświadczenie logowania` i włącz przedsiębiorcze SSO. ![Enable SSO](https://uploads.strapi.logto.io/1/enable_sso_0eba3b36e8.webp) Teraz możesz przetestować integrację SSO używając przycisku podglądu na żywo w prawym górnym rogu sekcji `Podgląd doświadczenia logowania`. Skontaktuj się z nami [tutaj](https://logto.io/contact), jeśli masz jakiekolwiek pytania lub prośby dotyczące funkcji związanych z integracją przedsiębiorczego SSO. Zawsze jesteśmy chętni do pomocy!