Microsoft Entra ID, också känt som Azure Active Directory (Azure AD), är en omfattande identitets- och åtkomsthanteringslösning som ger dig en robust uppsättning möjligheter att hantera användare och grupper. Många organisationer använder Azure AD för att hantera sina användare och grupper, och det är också ett populärt val för integration av enkel inloggning (SSO). Azure AD stöder både OpenID Connect (OIDC) och Security Assertion Markup Language (SAML) protokoll för SSO-integration. I denna handledning kommer vi att visa dig hur du först integrerar din Logto-applikation med Azure SAML SSO. ## Förutsättningar Innan vi börjar, se till att du har ett aktivt Azure-konto. Om du inte har ett kan du registrera dig för ett gratis Azure-konto [här](https://azure.microsoft.com). Ett Logto-molnkonto. Om du inte har ett är du mycket välkommen att registrera dig för ett Logto-konto. Logto är gratis för personlig användning. Alla funktioner är tillgängliga för utvecklarhyresgäster, inklusive SSO-funktionen. En väl integrerad Logto-applikation behövs också. Om du inte har en, var god och följ [integrationsguiden](https://docs.logto.io/docs/recipes/integrate-logto/) för att skapa en Logto-applikation. ## Integration ### Skapa en ny Azure SAML SSO-anslutning i Logto 1. Besök din [Logto Cloud Console](https://cloud.logto.io) och navigera till sidan **Enterprise SSO**. ![Logto Cloud Console](https://uploads.strapi.logto.io/1/enterprise_sso_4b0bc0149e.webp) 2. Klicka på **Lägg till Enterprise SSO**-knappen och välj **Microsoft Entra ID (SAML)** som SSO-leverantör. azure connector

Låt oss öppna Azure-portalen i en annan flik och följa stegen för att skapa en företagsapplikation på Azure-sidan. ### Skapa en Azure-företagsapplikation 1. Gå till [Azure-portalen](https://portal.azure.com/) och logga in som administratör. 2. Välj tjänsten `Microsoft Entra ID`. 3. Navigera till `Enterprise-applikationer` med hjälp av sidomenyn. Klicka på `Ny applikation`, och välj `Skapa din egen applikation` i toppmenyn. 4. Ange applikationsnamnet och välj `Integrera någon annan applikation som du inte hittar i galleriet (Icke-galleri)`. Create Application

5. När applikationen är skapad, välj `Ställ in enkel inloggning` > `SAML` för att konfigurera SAML SSO-inställningarna. Setup SSO

6. Öppna första sektionen `Grundläggande SAML-konfiguration` och kopiera och klistra in följande information från Logto. Entity ID

- **Publik URI (SP Entity ID)**: Det representerar en globalt unik identifierare för din Logto-tjänst, som fungerar som EntityId för SP under autentiseringsförfrågningar till IdP. Denna identifierare är avgörande för säker utbyte av SAML-försäkringar och annan autentiseringsrelaterad data mellan IdP och Logto. - **ACS URL**: Assertion Consumer Service (ACS) URL är platsen där SAML-försäkran skickas med en POST-förfrågan. Denna URL används av IdP för att skicka SAML-försäkran till Logto. Det fungerar som en återkopplings-URL där Logto förväntar sig att motta och förbruka SAML-svaret som innehåller användarens identitetsinformation. SP Configuration

Klicka `Spara` för att spara konfigurationen. ### Tillhandahåll SAML IdP-metadata till Logto När SAML SSO-applikationen är skapad i Azure, kommer du att tillhandahålla SAML IdP-metadata-konfigurationen till Logto. Metadata-konfigurationen innehåller SAML IdP:s offentliga certifikat och SAML SSO-slutpunkten. 1. Logto tillhandahåller tre olika sätt att konfigurera SAML-metadata. Det enklaste sättet är genom metadata-URL:en. Du kan hitta metadata-URL:en i Azure-portalen. Kopiera `App Federation Metadata Url` från din Azure AD SSO-applikations `SAML-certifikatssektion` och klistra in det i `Metadata-URL`-fältet i Logto.

2. Klicka på spara-knappen och Logto kommer att hämta metadata från URL:en och konfigurera SAML SSO-integrationen automatiskt. Metadata Configuration

### Konfigurera användarattributmappning Logto tillhandahåller ett flexibelt sätt att mappa användarattribut som returneras från IdP till användarattribut i Logto. Följande användarattribut från IdP kommer att synkas till Logto som standard: - id: Användarens unika identifierare. Logto kommer att läsa `nameID`-påståendet från SAML-svaret som användarens SSO-identifierings-id. - e-post: Användarens e-postadress. Logto kommer att läsa `email`-påståendet från SAML-svaret som användarens primära e-post som standard. - namn: Användarens namn. Du kan hantera logiken för användarattributmappning antingen på Azure AD-sidan eller Logto-sidan. 1. Mappa AzureAD-användarattributen till Logto-användarattributen på Logto-sidan. Besök `Attribut & Påståenden`-sektionen i din Azure AD SSO-applikation. Kopiera följande attributnamn (med namnrymdsprefix) och klistra in dem i motsvarande fält i Logto. - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress` - `http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name` (Rekommendation: uppdatera denna attributvärdekarta till `user.displayname` för bättre användarupplevelse) Default Attributes Mapping

2. Mappa AzureAD-användarattributen till Logto-användarattributen på AzureAD-sidan. Besök `Attribut & Påståenden`-sektionen i din Azure AD SSO-applikation. Klicka på `Redigera`, och uppdatera fälten `Ytterligare påståenden` baserat på Logto-användarattributinställningarna: - uppdatera namnvärdet på påståendet baserat på Logto-användarattributinställningarna. - ta bort namnrymdsprefixet. - klicka `Spara` för att fortsätta. Bör sluta med följande inställningar: Logto Attributes

Du kan också specificera ytterligare användarattribut på Azure AD-sidan. Logto kommer att hålla en post om de ursprungliga användarattributen som returneras från IdP under användarens `sso_identity`-fält. ### Tilldela användare till Azure SAML SSO-applikationen Du måste tilldela användare till Azure SAML SSO-applikationen för att aktivera SSO-upplevelsen för dem. Besök `Användare och grupper`-sektionen i din Azure AD SSO-applikation. Klicka på `Lägg till användare/grupp` för att tilldela användare till Azure AD SSO-applikationen. Endast användare som är tilldelade till din Azure AD SSO-applikation kommer att kunna autentisera sig via Azure AD SSO-anslutningen. Assign Users

## Aktivera Azure SAML SSO-anslutning i Logto ### Ställ in e-postdomän och aktivera Azure SAML SSO-anslutning i Logto Ange e-post `domäner` för din organisation i Logtos SAML SSO-anslutningens `upplevelse`-flik. Detta kommer att aktivera SSO-anslutningen som en autentiseringsmetod för dessa användare. Email Domain

Användare med e-postadresser i de angivna domänerna kommer att vara exklusivt begränsade till att använda SAML SSO-anslutning som deras enda autentiseringsmetod. ### Aktivera Azure SAML SSO-anslutning i Logtos inloggningsupplevelse Gå till fliken `Inloggningsupplevelse` och aktivera företags-SSO. ![Enable SSO](https://uploads.strapi.logto.io/1/enable_sso_0eba3b36e8.webp) Nu kan du testa SSO-integrationen genom att använda liveförhandsgranskningsknappen längst upp till höger i `Förhandsgranska inloggningsupplevelse`-sektionen. Tveka inte att [kontakta oss](https://logto.io/contact) om du har några frågor eller funktionsönskemål angående företags-SSO-integrationen. Vi hjälper gärna till!