Como uma solução abrangente de gerenciamento de identidade e acesso, o Microsoft Entra ID, também conhecido como Azure Active Directory (Azure AD), suporta tanto o OpenID Connect (OIDC) quanto o Security Assertion Markup Language (SAML) para integração de logon único (SSO). No tutorial anterior, mostramos como integrar seu aplicativo Logto com o Microsoft Entra ID (SAML) SSO. Neste tutorial, vamos mostrar como integrar seu aplicativo Logto com o Microsoft Entra ID (OIDC) SSO. ## Pré-requisitos Como de costume, antes de começarmos, certifique-se de que você tenha uma conta ativa no Microsoft Entra ou Azure. Se você não tiver uma, você pode se inscrever para uma conta gratuita da Microsoft [aqui](https://entra.microsoft.com/). Uma conta na nuvem Logto. Se você não tiver uma conta, é muito bem-vindo para se inscrever para uma conta [Logto](https://logto.io). O Logto é gratuito para uso pessoal. Todos os recursos estão disponíveis para locatários de desenvolvimento, incluindo o recurso SSO. Também é necessário um aplicativo Logto bem integrado. Se você ainda não tiver um, por favor, siga o [guia de integração](https://docs.logto.io/docs/recipes/integrate-logto/) para criar um aplicativo Logto. ## Integração ### Criar um novo conector Microsoft Entra ID OIDC SSO no Logto 1. Acesse seu [Logto Cloud Console](https://cloud.logto.io) e navegue até a página **Enterprise SSO**. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_57cf85aae8.webp) 2. Clique no botão **Add Enterprise SSO** e selecione **Microsoft Entra ID (OIDC)** como o provedor SSO. azure connector

Agora vamos abrir o centro de administração do Microsoft Entra em outra aba e seguir o tutorial para criar um aplicativo OIDC no Microsoft Entra. ### Registrar um novo aplicativo Microsoft Entra ID OIDC 1. Vá para o [centro de administração do Microsoft Entra](https://entra.microsoft.com/) e faça login como administrador. 2. Navegue para Identidade > Aplicativos > Registros de Aplicativos. Criar Aplicação

3. Selecione `New registration`. 4. Insira o nome da aplicação e selecione o tipo apropriado de acesso à conta para sua aplicação. 5. Selecione `Web` como a plataforma do aplicativo. Insira o URI de redirecionamento para a aplicação. O URI de redirecionamento é o URL para o qual o usuário é redirecionado após autenticar com o Microsoft Entra ID. 6. Copie o `Redirect URI (Callback URL)` a partir da página de detalhes do conector Logto e cole-o no campo `Redirect URI`. Configurar Aplicação

6. Clique em `Register` para criar a aplicação. ### Configurar a conexão SSO no Logto Após criar com sucesso um aplicativo OIDC do Microsoft Entra, você precisará fornecer as configurações do IdP ao Logto. Navegue até a aba `Connection` no console do Logto e preencha as seguintes configurações: 1. **Client ID**: Um identificador único atribuído ao seu aplicativo OIDC pelo Microsoft Entra. Este identificador é usado pelo Logto para identificar e autenticar o aplicativo durante o fluxo OIDC. Você pode encontrá-lo na página de visão geral da aplicação como `Application (client) ID`. Detalhes da Aplicação

2. **Client Secret**: Crie um novo segredo de cliente e copie o valor para o Logto. Este segredo é usado para autenticar o aplicativo OIDC e garantir a comunicação segura entre o Logto e o IdP. Criar Segredo

3. **Issuer**: O URL do emissor, um identificador único para o IdP, especificando a localização onde o provedor de identidade OIDC pode ser encontrado. É uma parte crucial da configuração OIDC, pois ajuda o Logto a descobrir os endpoints necessários. Em vez de fornecer manualmente todos os endpoints OIDC, o Logto busca automaticamente todas as configurações e endpoints do IdP necessários. Isso é feito utilizando o URL do emissor que você forneceu e fazendo uma chamada ao endpoint de descoberta do IdP. Para obter o URL do emissor, você pode encontrá-lo na seção `Endpoints` na página de visão geral da aplicação. Localize o endpoint do `OpenID Connect metadata document` e copie o URL **SEM** o caminho final `.well-known/openid-configuration`. Isso porque o Logto irá adicionar automaticamente `.well-known/openid-configuration` ao URL do emissor quando buscar as configurações OIDC. Endpoints

4. **Scope**: Uma lista de strings separadas por espaços que definem as permissões ou níveis de acesso desejados solicitados pelo Logto durante o processo de autenticação OIDC. O parâmetro de escopo permite que você especifique quais informações e acessos o Logto está solicitando ao IdP. O parâmetro de escopo é opcional. Independentemente das configurações de escopo personalizadas, o Logto sempre enviará os escopos `openid`, `profile` e `email` ao IdP. Clique em `Save` para finalizar o processo de configuração. ## Ativar o conector Microsoft Entra ID (OIDC) no Logto ### Definir o domínio de email e ativar o conector Microsoft Entra ID (OIDC) no Logto Forneça os `domínios` de email da sua organização na aba de `experiência` do conector SAML SSO do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de email nos domínios especificados serão exclusivamente limitados a usar o conector SAML SSO como seu único método de autenticação. ### Ativar o conector Microsoft Entra ID (OIDC) na experiência de login do Logto Vá até a aba `Sign-in Experience` e ative o SSO empresarial. ![Ativar SSO](https://uploads.strapi.logto.io/1/enable_sso_89a18cafae.webp) Agora, você pode testar a integração SSO usando o botão de visualização ao vivo no canto superior direito da seção `Sign-in Experience preview`.