Русский
  • saml
  • azure
  • ad
  • sso

Как интегрировать Azure AD (Entra ID) SAML SSO с вашим провайдером аутентификации

Узнайте, как интегрировать Azure AD SSO с Logto, используя стандартный SAML-коннектор.

Simeng
Simeng
Developer

Logto предоставляет готовый SAML-коннектор для интеграции с провайдерами аутентификации SSO. Каждый провайдер имеет свою специфическую информацию для настройки. Это руководство проведет вас через шаги по интеграции Azure AD с Logto.

Попробуйте Logto Cloud бесплатно

Создание нового SAML-социального коннектора в Logto

  1. Посетите консоль Logto Cloud и перейдите в раздел коннекторов.

  2. Переключитесь на вкладку Social connectors и нажмите кнопку Add Social Connector в правом верхнем углу.

    Logto Cloud Console

  3. Выберите SAML-коннектор.

    SAML Connector

    Вам будет представлена форма создания SAML-коннектора:

    Connector Creation Form

  4. Заполните общую информацию о коннекторе

    Connector General Information

    Имя поляОписание
    Название кнопки социального входаНазвание кнопки социального входа, которое будет отображаться на странице входа.
    URL-адрес логотипа для кнопки входаURL-адрес логотипа кнопки социального входа, который будет отображаться на странице входа.
    Название провайдера аутентификацииНазвание провайдера аутентификации. Это может помочь идентифицировать целевого провайдера коннектора.
    Синхронизировать информацию профиляСинхронизировать информацию профиля пользователя с провайдера аутентификации только после первой регистрации или после каждого входа.

  5. Установите Entity Id и URL службы потребителя утверждений

    Entity Id and Assertion Consumer Service URL

    "Entity ID" и "ACS URL" являются основными компонентами, используемыми в процессе обмена SAML между провайдерами идентификации и услуг.

    SP Entity ID: Entity ID - это уникальный идентификатор, представляющий собой сущность SAML в системе на основе SAML. Он используется для различения различных участников в обмене SAML. SP Entity ID помогает как IdP, так и SP распознавать аудиторию запроса и устанавливать доверие.

    ACS URL (URL службы потребителя утверждений): ACS URL - это конкретная конечная точка, предоставляемая Поставщиком услуг (Logto), куда Поставщик удостоверений (IdP) отправляет SAML утверждение после успешной аутентификации. Как только пользователь аутентифицирован IdP, IdP генерирует SAML утверждение, содержащее атрибуты пользователя и цифровую подпись. Затем IdP отправляет это утверждение на ACS URL SP. SP проверяет утверждение, извлекает атрибуты пользователя и выполняет вход пользователя.

    Имя поляОписаниеПример
    SP Entity ID (Аудитория)SP Entity, используемый AzureAD для идентификации Logto. Рекомендуется использовать ваш конечный пункт Logto в качестве EntityIDhttps://<tenant-id>.logto.app
    URL единого входа IdPТочка входа IdP. Необязательно в Azure. Это поле используется для SP для идентификации сеанса входа IdP. Logto в настоящее время НЕ поддерживает сеансы входа, инициированные IdP. Пожалуйста, оставьте это поле пустым
    Сертификат X.509Сертификат IdP, используемый для подписи SAML утверждения. (Мы получим этот сертификат из AzureAD позже)
    Метаданные IdP в формате XMLСодержимое XML-файла метаданных IdP. (Мы получим этот файл из AzureAD позднее) open
    URL службы потребителя утвержденийACS URL ​​SP. Конечная точка SP (Logto) для получения запросов утверждения SAML. Замените идентификатор арендатора и идентификатор коннектора на свои собственные значения.https://<tenant-id>.logto.app/api/authn/saml/<connector-id>

Создание приложения SAML SSO в портале Azure

  1. Войдите в панель управления Azure Active Directory. Выберите "Enterprise Applications".

    Приложение корпорации

  2. Выберите "New Application" → "Create your own application".

    Создать свое приложение

  3. Инициируйте SAML приложение.

    Инициируйте SAML приложение

  4. Заполните конфигурацию с EntityId и ACS URL, которые вы установили в Logto.

    Конфигурация SAML приложения

  5. Настройте атрибуты и требования пользователя

    Вы можете настроить атрибуты пользователя, нажав кнопку "Edit" (Редактировать) в разделе "User Attributes & Claims".

    Атрибуты и требования пользователя

    Logto требует, чтобы в утверждении SAML были отправлены следующие основные атрибуты пользователя:

    Название требованияНазвание атрибута
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mail
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.name

  6. Назначьте группы и пользователей приложению SAML Чтобы пользователи или группы пользователей прошли аутентификацию, их необходимо назначить приложению SAML в AzureAD. Выберите "Users and groups" в "Manage" в меню навигации. Затем выберите "Add user/group".

    Назначение пользователей и групп

  7. Получите детали IdP AzureAD, скачав сертификаты и файл метаданных. Скачайте файл Federation Metadata XML и файл Certificate (Base64), нажав на кнопку "скачать". Вам потребуются эти файлы для завершения создания SAML-коннектора в Logto.

    Скачайте метаданные и сертификат IdP

Завершите создание SAML соединения в Logto

Переключитесь обратно в форму создания SAML-коннектора в консоли Logto Cloud и продолжите заполнять детали IdP. Скопируйте содержимое XML-файла метаданных IdP в поле метаданных IdP. Вставьте сертификат IdP в поле сертификата IdP.

Детали IdP

Настройте сопоставление профиля пользователя

На основе настроек требований пользователя AzureAD вы можете продолжить настройку конфигурации ключевого сопоставления в Logto:

Доступные поля пользователя Logto:

Нажмите "Сохранить и завершить".

Включите SAML-коннектор

После того как вы завершите создание SAML-коннектора, вы можете включить коннектор, перейдя в раздел "Опыт входа" и добавив коннектор в качестве метода "Социального входа":

Enable the SAML connector

Проверьте вход SSO AzureAD, используя наше демо-приложение:

Вход SSO AzureAD

Поздравляем! Вы успешно интегрировали SSO AzureAD с Logto. Теперь вы можете использовать AzureAD для входа в свою учетную запись Logto.

Попробуйте сейчас