Microsoft Entra ID, também conhecido como Azure Active Directory (Azure AD), é uma solução abrangente de gerenciamento de identidade e acesso que oferece um conjunto robusto de capacidades para gerenciar usuários e grupos. Muitas organizações usam o Azure AD para gerenciar seus usuários e grupos, sendo também uma escolha popular para integração de single sign-on (SSO). O Azure AD suporta os protocolos OpenID Connect (OIDC) e Security Assertion Markup Language (SAML) para integração SSO. Neste tutorial, vamos mostrar como integrar seu aplicativo Logto com o Azure SAML SSO primeiro. ## Pré-requisitos Antes de começarmos, certifique-se de ter uma conta Azure ativa. Se você não tiver uma, pode se inscrever para uma conta Azure gratuita [aqui](https://azure.microsoft.com). Uma conta Logto na nuvem. Se você não tiver uma, seja muito bem-vindo a se inscrever para uma conta Logto. O Logto é gratuito para uso pessoal. Todos os recursos estão disponíveis para locatários de desenvolvimento, incluindo o recurso SSO. Um aplicativo Logto bem integrado também é necessário. Se você não tiver um, siga o [guia de integração](https://docs.logto.io/docs/recipes/integrate-logto/) para criar um aplicativo Logto. ## Integração ### Criar um novo conector Azure SAML SSO no Logto 1. Visite seu [Logto Cloud Console](https://cloud.logto.io) e navegue para a página **Enterprise SSO**. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_4b0bc0149e.webp) 2. Clique no botão **Adicionar Enterprise SSO** e selecione **Microsoft Enrtra Id (SAML)** como o provedor de SSO. azure connector

Vamos abrir o portal Azure em outra aba e seguir os passos para criar um aplicativo empresarial no lado do Azure. ### Criar um aplicativo empresarial Azure 1. Acesse o [portal Azure](https://portal.azure.com/) e faça login como administrador. 2. Selecione o serviço `Microsoft Entra ID`. 3. Navegue até `Aplicativos empresariais` usando o menu lateral. Clique em `Novo aplicativo` e selecione `Criar seu próprio aplicativo` no menu superior. 4. Insira o nome do aplicativo e selecione `Integrar qualquer outro aplicativo que você não encontrar na galeria (Não-galeria)`. Criar Aplicativo

5. Uma vez que o aplicativo é criado, selecione `Configurar single sign-on` > `SAML` para configurar as definições SAML SSO. Configurar SSO

6. Abra a primeira seção `Configuração SAML Básica` e copie e cole as seguintes informações do Logto. ID da Entidade

- **URI de Público (SP Entity ID)**: Representa um identificador globalmente único para seu serviço Logto, funcionando como o EntityId para SP durante as solicitações de autenticação para o IdP. Este identificador é fundamental para a troca segura de declarações SAML e outros dados relacionados à autenticação entre o IdP e o Logto. - **URL ACS**: O URL do Serviço de Consumidor de Declaração (ACS) é o local onde a declaração SAML é enviada com uma solicitação POST. Este URL é usado pelo IdP para enviar a declaração SAML ao Logto. Ele atua como um URL de retorno de chamada onde o Logto espera receber e consumir a resposta SAML contendo as informações de identidade do usuário. Configuração SP

Clique em `Salvar` para salvar a configuração. ### Fornecer os metadados SAML IdP ao Logto Uma vez que o aplicativo SAML SSO é criado no Azure, você irá fornecer a configuração de metadados SAML IdP ao Logto. A configuração de metadados contém o certificado público do SAML IdP e o endpoint SAML SSO. 1. O Logto oferece três maneiras diferentes de configurar os metadados SAML. A maneira mais fácil é por meio do URL de metadados. Você pode encontrar o URL de metadados no portal Azure. Copie o `URL de Metadados de Federação do App` do `SAML Certificates section` de seu aplicativo Azure AD SSO e cole-o no campo `URL de Metadados` no Logto.

2. Clique no botão de salvar e o Logto buscará os metadados a partir do URL e configurará a integração SAML SSO automaticamente. Configuração de Metadados

### Configurar o mapeamento de atributos de usuário O Logto oferece uma maneira flexível de mapear os atributos de usuário retornados do IdP para os atributos de usuário no Logto. Os seguintes atributos de usuário do IdP serão sincronizados para o Logto por padrão: - id: O identificador único do usuário. O Logto lerá a afirmação `nameID` da resposta SAML como o id de identidade SSO do usuário. - email: O endereço de e-mail do usuário. O Logto lerá a afirmação `email` da resposta SAML como o e-mail principal do usuário por padrão. - nome: O nome do usuário. Você pode gerenciar a lógica de mapeamento de atributos de usuário tanto no lado Azure AD quanto no lado Logto. 1. Mapear os atributos de usuário AzureAD para os atributos de usuário Logto no lado do Logto. Visite a seção `Atributos e Reivindicações` de seu aplicativo Azure AD SSO. Copie os seguintes nomes de atributos (com prefixo de namespace) e cole-os nos campos correspondentes no Logto. - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress` - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name` (Recomendação: atualize este mapeamento de valor de atributo para `user.displayname` para uma melhor experiência do usuário) Mapeamento de Atributos Padrão

2. Mapear os atributos de usuário AzureAD para os atributos de usuário Logto no lado do AzureAD. Visite a seção `Atributos e Reivindicações` de seu aplicativo Azure AD SSO. Clique em `Editar`, e atualize os campos `Reivindicações adicionais` com base nas configurações de atributos de usuário Logto: - atualize o valor do nome da reivindicação com base nas configurações de atributos de usuário Logto. - remova o prefixo de namespace. - clique em `Salvar` para continuar. Deve terminar com as seguintes configurações: Atributos Logto

Você também pode especificar atributos de usuário adicionais no lado do Azure AD. O Logto manterá um registro dos atributos de usuário originais retornados do IdP no campo `sso_identity` do usuário. ### Atribuir usuários ao aplicativo Azure SAML SSO Você precisará atribuir usuários ao aplicativo Azure SAML SSO para habilitar a experiência SSO para eles. Visite a seção `Usuários e grupos` de seu aplicativo Azure AD SSO. Clique em `Adicionar usuário/grupo` para atribuir usuários ao aplicativo Azure AD SSO. Apenas usuários atribuídos ao seu aplicativo Azure AD SSO poderão se autenticar através do conector Azure AD SSO.

## Habilitar o conector Azure SAML SSO no Logto ### Defina o domínio de e-mail e habilite o conector Azure SAML SSO no Logto Forneça os `domínios` de e-mail de sua organização na aba `experience` do conector SAML SSO do Logto. Isso habilitará o conector SSO como um método de autenticação para esses usuários.

Usuários com endereços de e-mail nos domínios especificados serão exclusivamente limitados a usar o conector SAML SSO como seu único método de autenticação. ### Habilitar o conector Azure SAML SSO na experiência de login do Logto Vá para a aba `Experiência de Login` e habilite o SSO empresarial. ![Habilitar SSO](https://uploads.strapi.logto.io/1/enable_sso_0eba3b36e8.webp) Agora, você pode testar a integração SSO usando o botão de visualização ao vivo no canto superior direito da seção `Visualização da Experiência de Login`. Sinta-se à vontade para [entrar em contato conosco](https://logto.io/contact) se você tiver alguma dúvida ou solicitação de recurso em relação à integração SSO empresarial. Estamos sempre felizes em ajudar!