Como integrar o Azure AD (Entra ID) SAML SSO com o seu fornecedor de autenticação

Logto fornece um conector SAML pronto para integrar com fornecedores de identidade SSO. Cada fornecedor tem suas próprias informações específicas para configurar. Este guia irá guiá-lo através dos passos para integrar o Azure AD com o Logto.

Criar um novo conector social SAML no Logto#

1. Visite o seu Console do Logto Cloud e navegue até à secção de conector.

2. Mude para o separador Conectores sociais e clique no botão Adicionar conector social no canto superior direito.

   

3. Selecione o conector SAML.

   

   Será apresentado com o formulário de criação do conector SAML:

   

4. Preencha a informação geral do conector

   

   Nome do campo	Descrição
   Nome para botão de login social	O nome do botão de login social que será exibido na página de login.
   URL do logotipo para botão de login social	O URL do logotipo do botão de login social que será exibido na página de login.
   Nome do fornecedor de identidade	O nome do fornecedor de identidade. Isso pode ajudá-lo a identificar o fornecedor alvo do conector.
   Sincronizar informações do perfil	Se deseja sincronizar as informações do perfil do usuário do fornecedor de identidade apenas após o registro inicial ou após cada sessão de login.

5. Definir Entity Id e URL do Serviço de Consumidor de Asserção

   

   "Entity ID" e um "ACS URL" são componentes essenciais usados no processo de troca SAML para fornecedores de identidade e serviço.

   SP Entity ID: O Entity ID é um identificador único que representa uma entidade SAML dentro de um sistema baseado em SAML. É usado para distinguir diferentes participantes na troca SAML. O SP Entity ID ajuda tanto o IdP a reconhecer o público do pedido e estabelecer confiança.

   ACS URL (URL do Serviço de Consumidor de Asserção): O ACS URL é um endpoint específico fornecido pelo Provedor de Serviço (Logto) onde o Provedor de Identidade (IdP) envia a asserção SAML após a autenticação bem-sucedida. Uma vez que um usuário é autenticado pelo IdP, o IdP gera uma asserção SAML contendo atributos do usuário e a assina digitalmente. O IdP então envia essa asserção para o ACS URL do SP. O SP valida a asserção, extrai atributos do usuário e faz o login do usuário.

   Nome do campo	Descrição	Exemplo
   SP Entity ID (Público)	SP Entity usado pelo AzureAD para identificar a identidade do Logto. Usar o endpoint do inquilino do Logto como EntityID é recomendado	https://<tenant-id>.logto.app
   URL de login único do IdP	Endpoint de Login do IdP. Opcional no Azure. Este campo é usado para o SP identificar a sessão de login iniciada pelo IdP. Atualmente o Logto NÃO suporta a sessão de login iniciada pelo IdP. Por favor, deixe este campo em branco
   Certificado X.509	O certificado IdP usado para assinar a asserção SAML. (Vamos recuperar este certificado do AzureAD mais tarde)
   Metadados IdP em formato XML	O conteúdo do arquivo XML de metadados IdP. (Vamos recuperar este arquivo do AzureAD mais tarde)
   URL do Serviço de Consumidor de Asserção	O ACS URL do SP. Endpoint do SP (Logto) para receber pedidos de asserção SAML. Substitua o tenant-id e o connector-id pelos seus próprios.	https://<tenant-id>.logto.app/api/authn/saml/<connector-id>

Criar uma aplicação SSO SAML no portal Azure#

1. Faça login no painel do Azure Active Directory. Selecione "Aplicações empresariais".

   

2. Selecione "Nova Aplicação" → "Crie a sua própria aplicação".

   

3. Inicie uma aplicação SAML.

   

4. Preencha a configuração com EntityId e ACS URL que você configurou no Logto.

   

5. Configure atributos e reivindicações do usuário

   Você pode configurar os atributos do usuário clicando no botão "Editar" na seção "Atributos e Reivindicações do Usuário".

   

   Logto requer que os seguintes atributos básicos do usuário sejam enviados na asserção SAML:

   Nome da Reivindicação	Nome do Atributo
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	user.mail
   http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	user.name

6. Atribua grupos e usuários à aplicação SAML Para que usuários ou grupos de usuários sejam autenticados, precisaremos atribuí-los à aplicação SAML do AzureAD. Selecione "Usuários e grupos" na seção "Gerenciar" do menu de navegação. Em seguida, selecione "Adicionar usuário/grupo".

   

7. Obtenha os detalhes do IdP do AzureAD baixando certificados e arquivos de metadados. Baixe o arquivo Metadata de Federação XML e o arquivo Certificado (Base64) clicando no botão "download". Você precisará desses arquivos para completar a criação do conector SAML no Logto.

   

Conclua a criação da conexão SAML de volta no Logto#

Volte para o formulário de criação do conector SAML do Console do Logto Cloud e continue preenchendo os detalhes do IdP. Copie o conteúdo do arquivo XML de metadados IdP para o campo de metadados IdP. Cole o certificado IdP no campo de certificado IdP.

Defina o mapeamento do perfil do usuário

Com base nas configurações de reivindicação do usuário AzureAD, você pode proceder a definir as configurações de mapeamento de chave no Logto:

Os campos de usuário disponíveis no Logto são:

Clique em “Salvar e Concluído”.

Ativar o conector SAML#

Assim que tiver concluído a criação do conector SAML, poderá ativá-lo navegando até à seção "Experiência de login" e adicionar o conector como o método "Login social":

Verifique seu login SSO do AzureAD usando nosso aplicativo de demonstração de pré-visualização:

Parabéns! Você integrou com sucesso o SSO do AzureAD com o Logto. Agora você pode usar o AzureAD para fazer login na sua conta Logto.