Usando o Logto como um provedor de identidade (IdP) de terceiros

Logto é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada em nuvem que fornece um conjunto abrangente de capacidades de autenticação, autorização e gerenciamento de usuários. Ele pode ser usado como um provedor de identidade (IdP) para suas aplicações ou serviços de terceiros, permitindo que você autentique usuários e gerencie o acesso deles a essas aplicações.

Neste artigo, explicaremos como configurar o Logto como um IdP para suas aplicações de terceiros e como usá-lo para autenticar usuários e gerenciar suas permissões.

O que é um provedor de identidade (IdP)?#

Um Provedor de Identidade (IdP) é um serviço que verifica identidades de usuários e gerencia suas credenciais de login. Após confirmar a identidade do usuário, o IdP gera tokens de autenticação ou afirmações e permite que o usuário acesse várias aplicações ou serviços sem precisar fazer login novamente. Essencialmente, é o sistema de referência para gerenciar identidades e permissões de empregados na sua empresa.

O que é um IdP de terceiros?#

Um IdP de terceiros é um IdP que é propriedade de uma organização diferente do provedor de serviços (SP). O SP está solicitando acesso aos dados do usuário que não são de sua propriedade. Por exemplo, se você estiver usando o Logto como seu IdP e fizer login em um aplicativo social de terceiros, então o Logto é um IdP de terceiros para o aplicativo social.

No mundo real, muitas aplicações usam Google, Facebook ou outros serviços de terceiros como seu IdP. Isso é chamado de Single Sign-On (SSO). Para saber mais sobre SSO, por favor, confira nosso artigo CIAM 101: Autenticação, Identidade, SSO.

Agora vamos ver como integrar o Logto como um IdP de terceiros para suas aplicações.

Como integrar um IdP de terceiros para suas aplicações e suas melhores práticas#

Pré-requisitos#

• Antes de começar, você precisa ter uma conta no Logto. Se você não tiver uma, pode se inscrever para uma conta gratuita em Logto.

• Uma aplicação de terceiros que você deseja configurar o Logto como um IdP. Usuários podem fazer login com suas contas do Logto.

Criar uma aplicação OIDC de terceiros no Logto#

Para criar uma aplicação OIDC de terceiros no Logto, siga estas etapas:

1. Acesse o Console do Logto e navegue até a página de Aplicações.

2. Clique no botão criar aplicação localizado no canto superior direito da página. Selecione "App de terceiros -> OIDC" como o tipo de aplicação.

   

3. Preencha os detalhes básicos da aplicação, incluindo o nome e a descrição, no modal pop-up. Clique no botão criar. Isso gerará uma nova entidade de aplicação de terceiros no Logto e pulará para a página de detalhes.

   

Configure a configuração do OIDC#

Siga estas etapas para configurar as configurações do OIDC na página de detalhes da aplicação:

1. Navegue até a página de detalhes da aplicação da aplicação de terceiros que você acabou de criar.

2. Forneça um URI de redirecionamento da sua aplicação de terceiros. Este é o URL que a aplicação de terceiros redirecionará os usuários depois de serem autenticados pelo Logto. Você geralmente encontra essa informação na página de configurações de conexão IdP da aplicação de terceiros.

   

   (O Logto suporta múltiplos URIs de redirecionamento. Você pode adicionar mais URIs de redirecionamento clicando no botão Adicionar outro.)

3. Copie o ID do cliente e o segredo do cliente do Logto e insira-os na página de configurações de conexão IdP do seu provedor de serviços.

   

4. Copie o endpoint de descoberta do OIDC do Logto e insira-o na página de configurações de conexão IdP do seu provedor de serviços.

   O endpoint de descoberta do OIDC é um URL que o provedor de serviços pode usar para descobrir os detalhes de configuração do OIDC do IdP. Ele contém informações como o endpoint de autorização, endpoint de token, e endpoint de informações do usuário que seu provedor de serviços precisa para autenticar usuários com Logto.

   

Ponto de verificação#

Com todos os detalhes de configuração do OIDC em ordem, agora você pode usar o Logto como um IdP de terceiros para suas aplicações. Teste a integração na sua aplicação de terceiros para garantir que os usuários podem fazer login com suas contas do Logto.

Gerenciar permissões da aplicação#

Diferente de aplicações de primeira parte, aplicações de terceiros são aplicações que não são de propriedade do Logto. Elas geralmente são de propriedade de provedores de serviços de terceiros que usam o Logto como um IdP externo para autenticar usuários. Por exemplo, Slack, Zoom e Notion são todas aplicações de terceiros.

É importante garantir que sejam concedidas as permissões corretas às aplicações de terceiros quando elas estão solicitando acesso às informações dos seus usuários. O Logto permite que você gerencie as permissões das suas aplicações de terceiros, incluindo os escopos de perfil de usuário, escopos de recursos da API e escopos da organização.

Solicitar escopos não habilitados resultará em um erro. Isso é para garantir que as informações dos seus usuários estejam protegidas e acessíveis apenas pelas aplicações de terceiros em que você confia. Uma vez que os escopos são habilitados, as aplicações de terceiros podem solicitar acesso a esses escopos habilitados. Esses escopos serão exibidos na página de consentimento para que seus usuários revisem e concedam acesso às aplicações de terceiros.

Por favor, confira nosso artigo Tela de consentimento do usuário para mais detalhes sobre o que é uma tela de consentimento do usuário.

Adicionar permissões às suas aplicações de terceiros#

Vá para a página de detalhes da aplicação e navegue até a aba de Permissões. Clique no botão Adicionar permissões para adicionar as permissões das suas aplicações de terceiros.

Permissões de usuário (escopos de perfil de usuário)#

Essas permissões são escopos de perfil de usuário padrão do OIDC usados pelo Logto para acessar afirmações de usuário. As afirmações dos usuários serão retornadas no token de ID e no endpoint de informações do usuário de acordo.

Permissões de recursos da API (escopos de recursos da API)#

Logto fornece RBAC (controle de acesso baseado em funções) para recursos da API. Recursos da API são recursos que são de propriedade do seu serviço e são protegidos pelo Logto. Você pode atribuir escopos de API auto-definidos às aplicações de terceiros para acessar seus recursos da API. Se você não sabe como usar esses escopos de recursos da API, por favor, confira nossos guias de RBAC e proteja sua API.

Você pode criar e gerenciar seus escopos de recursos da API na página de recursos da API no console do Logto.

Permissões da organização (escopos da organização)#

Permissões da organização são os escopos definidos exclusivamente para organizações do Logto. Eles são usados para acessar informações e recursos da organização. Para saber mais sobre organizações e como usar escopos da organização, por favor, confira nosso guia de organização.

Para criar e gerenciar seus escopos da organização, vá para a página de Modelo da organização no console do Logto. Por favor, veja Configurar organizações para mais detalhes.

Página de consentimento#

Uma vez que todas as permissões estão habilitadas, as aplicações de terceiros podem solicitar acesso às permissões habilitadas. Essas permissões serão exibidas na página de consentimento para que seus usuários revisem e concedam acesso às aplicações de terceiros.

Ao clicar no botão Autorizar, o usuário concederá acesso às aplicações de terceiros para acessar essas permissões solicitadas.

Customizar a tela de consentimento#

Por último, mas não menos importante, é importante garantir que as informações de marca do terceiro e o link de privacidade sejam exibidos corretamente para os usuários quando eles forem redirecionados para a página de consentimento da aplicação de terceiros.

Além da experiência de login universal das aplicações de primeira parte, o Logto permite que você personalize essas informações adicionais de marca das suas aplicações de terceiros, incluindo o nome da aplicação, logotipo e link de termos.

1. Vá para o Console do Logto e navegue até a página de detalhes da aplicação de terceiros.

2. Navegue até a aba de Marca.

   

• Nome de exibição: O nome da aplicação de terceiros que será exibido na página de consentimento. Representará o nome da aplicação de terceiros que está solicitando acesso às informações dos seus usuários. O nome da aplicação será usado se este campo for deixado em branco.
• Logotipo: O logotipo da aplicação de terceiros que será exibido na página de consentimento. Representará a marca da aplicação de terceiros que está solicitando acesso às informações dos seus usuários. Tanto o logotipo da aplicação de terceiros quanto o logotipo da experiência de login universal do Logto serão exibidos na página de consentimento, se ambos forem fornecidos.
• Dark logto: Disponível apenas quando a experiência de login em modo escuro está habilitada. Gerencie as configurações de modo escuro na página Experiência de login.
• Link de termos: O link de termos da aplicação de terceiros que será exibido na página de consentimento.
• Link de privacidade: O link de privacidade da aplicação de terceiros que será exibido na página de consentimento.

Resumo#

Parabéns! Você integrou efetivamente o Logto como um IdP de terceiros para suas aplicações. Ao configurar as configurações do OIDC, você estabeleceu um mecanismo robusto e seguro para autenticação e autorização de usuários. Com o Logto em vigor, agora você tem um processo suave para autenticar usuários e regular o acesso deles a qualquer aplicação de terceiros.