Microsoft Entra ID, также известный как Azure Active Directory (Azure AD), является комплексным решением для управления идентификацией и доступом, поддерживающим протоколы OpenID Connect (OIDC) и Security Assertion Markup Language (SAML) для интеграции одноразового входа (SSO). В предыдущем руководстве мы показали вам, как интегрировать ваше приложение Logto с Microsoft Entra ID (SAML) SSO. В этом руководстве мы покажем вам, как интегрировать ваше приложение Logto с Microsoft Entra ID (OIDC) SSO. ## Предварительные требования Как обычно, перед началом убедитесь, что у вас есть активная учетная запись Microsoft Entra или Azure. Если у вас нет учетной записи, вы можете зарегистрироваться для бесплатной учетной записи Microsoft [здесь](https://entra.microsoft.com/). Учетная запись Logto. Если у вас нет учетной записи, вы можете зарегистрироваться для получения [Logto](https://logto.io) учетной записи. Logto бесплатен для личного использования. Все функции доступны для dev-тенантов, включая функцию SSO. Также необходимо хорошо интегрированное приложение Logto. Если у вас его нет, пожалуйста, следуйте [инструкции по интеграции](https://docs.logto.io/docs/recipes/integrate-logto/), чтобы создать приложение Logto. ## Интеграция ### Создание нового Microsoft Entra ID OIDC SSO коннектора в Logto 1. Перейдите в ваш [Logto Cloud Console](https://cloud.logto.io) и перейдите на страницу **Enterprise SSO**. ![Консоль Logto Cloud](https://uploads.strapi.logto.io/1/enterprise_sso_57cf85aae8.webp) 2. Нажмите кнопку **Add Enterprise SSO** и выберите **Microsoft Entra ID (OIDC)** в качестве провайдера SSO. azure connector

Теперь откройте административный центр Microsoft Entra в другой вкладке и следуйте шагам для создания OIDC приложения на стороне Microsoft Entra. ### Регистрация нового Microsoft Entra ID OIDC приложения 1. Перейдите в [Microsoft Entra admin center](https://entra.microsoft.com/) и войдите как администратор. 2. Перейдите в Identity > Applications > App registrations. Создание приложения

3. Выберите `New registration`. 4. Введите имя приложения и выберите соответствующий тип доступа к учетной записи для вашего приложения. 5. Выберите `Web` в качестве платформы приложения. Введите URI перенаправления для приложения. URI перенаправления — это URL, на который пользователь будет перенаправлен после аутентификации с Microsoft Entra ID. 6. Скопируйте `Redirect URI (Callback URL)` со страницы деталей коннектора Logto и вставьте его в поле `Redirect URI`. Настройка приложения

6. Нажмите `Register`, чтобы создать приложение. ### Настройка соединения SSO в Logto После успешного создания приложения Microsoft Entra OIDC, вам нужно будет предоставить конфигурации IdP обратно Logto. Перейдите на вкладку `Connection` в консоли Logto и заполните следующие конфигурации: 1. **Client ID**: Уникальный идентификатор, назначаемый вашему OIDC приложению Microsoft Entra. Этот идентификатор используется Logto для идентификации и аутентификации приложения во время OIDC потока. Вы можете найти его на странице обзора приложения как `Application (client) ID`. Детали приложения

2. **Client Secret**: Создайте новый клиентский секрет и скопируйте значение в Logto. Этот секрет используется для аутентификации OIDC приложения и обеспечения безопасности связи между Logto и IdP. Создание секрета

3. **Issuer**: URL-адрес издателя, уникальный идентификатор для IdP, указывающий место, где можно найти поставщика удостоверений OIDC. Это важная часть конфигурации OIDC, поскольку она помогает Logto обнаружить необходимые конечные точки. Вместо того, чтобы вручную предоставлять все эти OIDC конечные точки, Logto автоматически загружает все необходимые конфигурации и конечные точки IdP. Это делается с использованием предоставленного вами URL-адреса издателя и вызова конечной точки обнаружения IdP. Чтобы получить URL-адрес издателя, вы можете найти его в разделе `Endpoints` на странице обзора приложения. Найдите конечную точку `OpenID Connect metadata document` и скопируйте URL **БЕЗ** конечного пути `.well-known/openid-configuration`. Это потому, что Logto автоматически добавит `.well-known/openid-configuration` к URL-адресу издателя при загрузке конфигураций OIDC. Конечные точки

4. **Scope**: Пробелом разделенный список строк, определяющих желаемые разрешения или уровни доступа, запрашиваемые Logto в процессе аутентификации OIDC. Параметр scope позволяет вам указать, какую информацию и доступ запрашивает Logto у IdP. Параметр scope является необязательным. Независимо от настройки настраиваемой области, Logto всегда отправляет `openid`, `profile` и `email` области IdP. Нажмите `Save`, чтобы завершить процесс настройки. ## Включение Microsoft Entra ID (OIDC) коннектора в Logto ### Установите домен электронной почты и включите Microsoft Entra ID (OIDC) коннектор в Logto Укажите домены электронной почты вашей организации на вкладке коннектора `experience` SAML SSO Logto. Это позволит использовать коннектор SSO в качестве метода аутентификации для этих пользователей. Домен электронной почты

Пользователи с электронной почтой в указанных доменах будут исключительно ограничены использованием SAML SSO коннектора в качестве единственного метода аутентификации. ### Включение Microsoft Entra ID (OIDC) коннектора в Sign-in experience Logto Перейдите на вкладку `Sign-in Experience` и активируйте корпоративный SSO. ![Включение SSO](https://uploads.strapi.logto.io/1/enable_sso_89a18cafae.webp) Теперь вы можете протестировать интеграцию SSO, используя кнопку предварительного просмотра в правом верхнем углу `Sign-in Experience preview` раздела.