Polski
  • saml
  • azure
  • ad
  • sso

Jak zintegrować Azure AD (Entra ID) SAML SSO z twoim dostawcą uwierzytelniania

Dowiedz się, jak zintegrować Azure AD SSO z Logto za pomocą standardowego łącznika SAML.

Simeng
Simeng
Developer

Logto zapewnia gotowy łącznik SAML do integracji z dostawcami tożsamości SSO. Każdy dostawca ma swoje specyficzne informacje do skonfigurowania. Niniejszy przewodnik przeprowadzi cię przez kroki integracji Azure AD z Logto.

Wypróbuj Logto Cloud za darmo

Utwórz nowy łącznik społecznościowy SAML w Logto

  1. Odwiedź swój Logto Cloud Console i przejdź do sekcji łączników.

  2. Przełącz się na kartę Łączniki społecznościowe i kliknij przycisk Dodaj łącznik społecznościowy w prawym górnym rogu.

    Logto Cloud Console

  3. Wybierz łącznik SAML.

    Łącznik SAML

    Zostanie przedstawiony formularz tworzenia łącznika SAML:

    Formularz tworzenia łącznika

  4. Uzupełnij ogólne informacje łącznika

    Ogólne informacje o łączniku

    Nazwa polaOpis
    Nazwa przycisku logowania społecznościowegoNazwa przycisku logowania społecznościowego, która będzie wyświetlana na stronie logowania.
    URL logo przycisku logowania społecznościowegoURL logo przycisku logowania społecznościowego, które będzie wyświetlane na stronie logowania.
    Nazwa dostawcy tożsamościNazwa dostawcy tożsamości. Może to pomóc w identyfikacji docelowego dostawcy łącznika.
    Synchronizacja informacji o profiluCzy synchronizować informacje o profilu użytkownika z dostawcą tożsamości tylko po początkowej rejestracji czy po każdej sesji logowania.

  5. Ustaw identyfikator jednostki i URL usługi odbierającej oświadczenia

    Identyfikator jednostki i URL usługi odbierającej oświadczenia

    „Identyfikator jednostki” i „URL ACS” to istotne elementy używane w procesie wymiany SAML dla dostawców tożsamości i usług.

    SP Identyfikator jednostki: Identyfikator jednostki jest unikalnym identyfikatorem, który reprezentuje jednostkę SAML w systemie opartym na SAML. Służy do odróżniania różnych uczestników wymiany SAML. Identyfikator SP pomaga zarówno IdP rozpoznać docelową publiczność żądania, jak i nawiązać zaufanie.

    URL ACS (Assertion Consumer Service URL): URL ACS to konkretny punkt końcowy dostarczony przez dostawcę usług (Logto), gdzie dostawca tożsamości (IdP) wysyła oświadczenie SAML po pomyślnym uwierzytelnieniu. Gdy użytkownik zostanie uwierzytelniony przez IdP, IdP generuje oświadczenie SAML zawierające atrybuty użytkownika i cyfrowo je podpisuje. IdP następnie wysyła to oświadczenie do URL ACS SP. SP weryfikuje oświadczenie, wyodrębnia atrybuty użytkownika i loguje użytkownika.

    Nazwa polaOpisPrzykład
    Identyfikator jednostki SP (Publiczność)Identyfikator jednostki SP używany przez AzureAD do identyfikacji tożsamości Logto. Zaleca się użycie adresu końcowego dzierżawy Logto jako identyfikatora jednostkihttps://<tenant-id>.logto.app
    IdP URL jednokrotnego logowaniaPunkt końcowy logowania IdP. Opcjonalne w Azure. To pole służy do identyfikacji sesji logowania zainicjowanej przez IdP. Aktualnie Logto NIE obsługuje sesji logowania zainicjowanej przez IdP. Proszę zostawić to pole puste
    Certyfikat X.509Certyfikat IdP używany do podpisywania oświadczeń SAML. (Pobrany później z AzureAD)
    Metadane IdP w formacie XMLZawartość pliku XML metadanych IdP. (Pobrany później z AzureAD)
    URL usługi odbierającej oświadczeniaURL ACS dla SP. Punkt końcowy SP(Logto) do odbierania żądań oświadczeń SAML. Zamień tenant-id i connector-id na swoje.https://<tenant-id>.logto.app/api/authn/saml/<connector-id>

Utwórz aplikację SAML SSO w portalu Azure

  1. Zaloguj się do panelu Azure Active Directory. Wybierz „Aplikacje biznesowe”.

    Aplikacje biznesowe

  2. Wybierz „Nowa aplikacja” → „Utwórz własną aplikację”.

    Utwórz własną aplikację

  3. Zainicjuj aplikację SAML.

    Zainicjuj aplikację SAML

  4. Uzupełnij konfigurację przy użyciu EntityId i ACS URL, które ustawiłeś w Logto.

    Konfiguracja aplikacji SAML

  5. Skonfiguruj atrybuty użytkowników i roszczenia

    Możesz skonfigurować atrybuty użytkowników, klikając przycisk "Edytuj" w sekcji "Atrybuty użytkowników i roszczenia".

    Atrybuty użytkowników i roszczenia

    Logto wymaga, aby następujące podstawowe atrybuty użytkowników zostały przesłane w oświadczeniu SAML:

    Nazwa roszczeniaNazwa atrybutu
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mail
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.name

  6. Przypisz grupy i użytkowników do aplikacji SAML Aby użytkownicy lub grupy użytkowników mogli zostać uwierzytelnieni, będziemy musieli przypisać ich do aplikacji AzureAD SAML. Wybierz „Użytkownicy i grupy” z sekcji „Zarządzaj” w menu nawigacyjnym. Następnie wybierz „Dodaj użytkownika/grupę”.

    Przypisz użytkowników i grupy

  7. Uzyskaj szczegóły IdP AzureAD poprzez pobranie certyfikatów i pliku metadanych. Pobierz plik Federation Metadata XML i plik Certificate (Base64), klikając przycisk "pobierz". Będziesz potrzebować tych plików, aby zakończyć tworzenie łącznika SAML w Logto.

    Pobierz metadane IdP i certyfikat

Zakończ tworzenie połączenia SAML w Logto

Przełącz się z powrotem do formularza tworzenia łącznika SAML w konsoli Logto Cloud i kontynuuj wypełnianie danych IdP. Skopiuj zawartość pliku metadanych XML IdP do pola metadanych IdP. Wklej certyfikat IdP do pola certyfikatu IdP.

Szczegóły IdP

Ustaw mapowanie profilu użytkownika

Na podstawie ustawień roszczeń użytkowników AzureAD możesz przejść do ustawień konfiguracji mapowania kluczy w Logto:

Dostępne pola użytkownika w Logto to:

Kliknij „Zapisz i Zrobione”.

Aktywuj łącznik SAML

Gdy zakończysz tworzenie łącznika SAML, możesz go aktywować, przechodząc do sekcji "Doświadczenie logowania" i dodając łącznik jako metodę "Logowania społecznościowego":

Aktywuj łącznik SAML

Zweryfikuj logowanie SSO AzureAD za pomocą naszej aplikacji demonstracyjnej:

Logowanie SSO AzureAD

Gratulacje! Pomyślnie zintegrowałeś AzureAD SSO z Logto. Możesz teraz korzystać z AzureAD do logowania się na swoje konto Logto.

Wypróbuj teraz