Português (Portugal)
  • sso
  • autenticação
  • consentimento
  • permissões
  • idp

Usar Logto como fornecedor de identidade (IdP) de terceiros

O Logto pode ser utilizado como um fornecedor de identidade para as suas aplicações de terceiros. Este artigo explica como configurar o Logto como um IdP.

Simeng
Simeng
Developer

Logto é uma plataforma de gestão de identidade e acesso (IAM) baseada na nuvem que fornece um conjunto abrangente de capacidades de autenticação, autorização e gestão de utilizadores. Pode ser utilizado como um fornecedor de identidade (IdP) para as suas aplicações ou serviços de terceiros, permitindo-lhe autenticar utilizadores e gerir o seu acesso a estas aplicações.

Neste artigo, explicaremos como configurar o Logto como um IdP para as suas aplicações de terceiros e como utilizá-lo para autenticar utilizadores e gerir as suas permissões.

O que é um fornecedor de identidade (IdP)?

Um Fornecedor de Identidade (IdP) é um serviço que verifica identidades de utilizadores e gere as suas credenciais de login. Após confirmar a identidade de um utilizador, o IdP gera tokens de autenticação ou afirmações e permite que o utilizador aceda a várias aplicações ou serviços sem precisar de fazer login novamente. Essencialmente, é o sistema de preferência para gerir identidades e permissões de funcionários na sua empresa.

O que é um IdP de terceiros?

Um IdP de terceiros é um IdP que pertence a uma organização diferente do que o fornecedor de serviços (SP). O SP solicita acesso a dados de utilizador que não são de sua propriedade. Por exemplo, se usar o Logto como o seu IdP e iniciar sessão numa App social de terceiros, então Logto é um IdP de terceiros para a App social.

No mundo real, muitas aplicações usam o Google, Facebook, ou outros serviços de terceiros como seu IdP. Isso é chamado de Single Sign-On (SSO). Para saber mais sobre SSO, por favor consulte o nosso artigo CIAM 101: Autenticação, Identidade, SSO.

Agora vamos ver como integrar o Logto como um IdP de terceiros para suas aplicações.

Como integrar um IdP de terceiros para suas aplicações e suas melhores práticas

Pré-requisitos

  • Antes de começar, precisa de ter uma conta Logto. Se não tiver uma, pode registar-se para uma conta gratuita em Logto.

  • Uma aplicação de terceiros que quer configurar Logto como um IdP. Os utilizadores podem entrar com suas contas Logto.

Criar uma aplicação OIDC de terceiros no Logto

Para criar uma aplicação OIDC de terceiros no Logto, siga estes passos:

  1. Vá para o Logto Console e navegue para a página de Aplicações.

  2. Clique no botão criar aplicação localizado no canto superior direito da página. Selecione "App de terceiros -> OIDC" como o tipo de aplicação.

    criar aplicação

  3. Preencha os detalhes básicos da aplicação, incluindo o nome e descrição, na janela pop-up. Clique no botão criar. Isso gerará uma nova entidade de aplicação de terceiros no Logto e levará para a página de detalhes.

    detalhes da aplicação

Configurar a configuração OIDC

Siga estes passos para configurar as definições OIDC na página de detalhes da aplicação:

  1. Navegue até a página de detalhes da aplicação da aplicação de terceiros que acabou de criar.

  2. Forneça um URI de redirecionamento para sua aplicação de terceiros. Este é o URL para o qual a aplicação de terceiros redirecionará os utilizadores após serem autenticados pelo Logto. Normalmente, pode encontrar esta informação na página de configurações de conexão IdP da aplicação de terceiros.

    redirect uri

    (Logto suporta múltiplos URIs de redirecionamento. Pode adicionar mais URIs de redirecionamento clicando no botão Adicionar outro.)

  3. Copie o client ID e client secret do Logto e insira-os na página de configurações de conexão IdP do seu fornecedor de serviços.

    client credentials

  4. Copie o endpoint de descoberta OIDC do Logto e insira-o na página de configurações de conexão IdP do seu fornecedor de serviços.

    O endpoint de descoberta OIDC é um URL que o fornecedor de serviços pode usar para descobrir os detalhes de configuração OIDC do IdP. Contém informações como o endpoint de autorização, token endpoint, e endpoint de informações do utilizador que o seu fornecedor de serviços precisa para autenticar utilizadores com Logto.

    discovery endpoint endpoint details

Ponto de Verificação

Com todos os detalhes de configuração OIDC em vigor, agora pode utilizar o Logto como um IdP de terceiros para suas aplicações. Teste a integração na sua aplicação de terceiros para garantir que os utilizadores podem entrar com suas contas Logto.

Gerir permissões da aplicação

Diferente de aplicações de primeira parte, aplicações de terceiros são aplicações que não são de propriedade do Logto. Elas geralmente pertencem a fornecedores de serviços de terceiros que usam Logto como um IdP externo para autenticar utilizadores. Por exemplo, Slack, Zoom, e Notion são todas aplicações de terceiros.

É importante garantir que se concedam as permissões corretas às aplicações de terceiros quando elas solicitam acesso à informação dos seus utilizadores. Logto permite-lhe gerir as permissões das suas aplicações de terceiros, incluindo os escopos de perfil de usuário, escopos de recursos de API e escopos de organização.

Solicitar escopos não habilitados resultará num erro. Isto é para garantir que as informações dos seus utilizadores estão protegidas e apenas acessíveis pelas aplicações de terceiros que você confia. Uma vez que os escopos são habilitados, as aplicações de terceiros podem solicitar acesso a estes escopos habilitados. Esses escopos serão exibidos na página de consentimento para seus usuários revisarem e concederem acesso às aplicações de terceiros.

Por favor, consulte o nosso artigo Tela de consentimento do usuário para obter mais detalhes sobre o que é uma tela de consentimento do usuário.

Adicionar permissões às suas aplicações de terceiros

Vá para a página de detalhes da aplicação e navegue até a aba Permissões. Clique no botão Adicionar permissões para adicionar as permissões das suas aplicações de terceiros.

aba de permissões

Permissões de usuário (Escopos de perfil de usuário)

Essas permissões são escopos padrão OIDC e escopos essenciais de perfil de utilizador do Logto usados para acessar reivindicações do utilizador. As reivindicações dos utilizadores serão retornadas no token ID e no endpoint de informações do utilizador, conforme o caso.

user permissions

Permissões de recursos da API (Escopos de recursos da API)

Logto fornece RBAC (Controle de acesso baseado em função) para recursos de API. Recursos de API são os recursos que são de propriedade do seu serviço e são protegidos pelo Logto. Pode atribuir escopos de API auto-definidos às aplicações de terceiros para acessar seus recursos de API. Se não sabe como usar esses escopos de recursos de API, por favor consulte os nossos guias RBAC e proteja sua API.

api resource permissions

Pode criar e gerir os seus escopos de recursos de API na página de Recursos de API no console Logto.

Permissões de organização (Escopos de organização)

Permissões de organização são os escopos que são definidos exclusivamente para organizações Logto. Eles são usados para acessar informações e recursos da organização. Para saber mais sobre organizações e como usar escopos de organização, por favor consulte o nosso guia de organização.

organization permissions

Para criar e gerir os seus escopos de organização vá para a página de Modelo de Organização no console Logto. Por favor, veja Configurar organizações para mais detalhes.

Página de consentimento

Uma vez que todas as permissões estão habilitadas, as aplicações de terceiros podem solicitar acesso às permissões habilitadas. Estas permissões serão exibidas na página de consentimento para seus utilizadores revisarem e concederem acesso às aplicações de terceiros.

consent permissions

Ao clicar no botão Autorizar, o utilizador concederá acesso às aplicações de terceiros para acessar essas permissões solicitadas.

Personalizar a tela de consentimento

Por último, mas não menos importante, é importante garantir que a informação de marcação do terceiro e o link de privacidade sejam devidamente exibidos aos utilizadores quando são redirecionados para a página de consentimento da aplicação de terceiros.

Além da experiência de login universal de aplicações de primeira parte, Logto permite-lhe personalizar essas informações adicionais de marca das suas aplicações de terceiros, incluindo o nome da aplicação, logotipo e link de termos.

  1. Vá para o Logto Console e navegue para a página de detalhes da aplicação de terceiros.

  2. Navegue para a aba Branding.

    aba de branding

  • Nome de exibição: O nome da aplicação de terceiros que será exibido na página de consentimento. Representará o nome da aplicação de terceiros que está a solicitar acesso às informações dos seus utilizadores. O nome da aplicação será usado se este campo for deixado vazio.
  • Logotipo: O logotipo da aplicação de terceiros que será exibido na página de consentimento. Representará a marca da aplicação de terceiros que está a solicitar acesso às informações dos seus utilizadores. Tanto o logotipo da aplicação de terceiros quanto o logotipo da experiência de login universal Logto serão exibidos na página de consentimento se ambos forem fornecidos.
  • Logto escuro: Disponível apenas quando a experiência de login em modo escuro está ativada. Gerenciar as definições de modo escuro na página Experiência de login.
  • Link de termos: O link de termos da aplicação de terceiros que será exibido na página de consentimento.
  • Link de privacidade: O link de privacidade da aplicação de terceiros que será exibido na página de consentimento.

Resumo

Parabéns! Efetivamente integrou o Logto como um IdP de terceiros para as suas aplicações. Ao configurar as definições OIDC, estabeleceu um mecanismo robusto e seguro para autenticação e autorização de utilizadores. Com Logto implementado, agora tem um processo suave para autenticar utilizadores e regular o seu acesso a qualquer aplicação de terceiros.

Experimente o Logto gratuitamente