简体中文
  • azure
  • sso
  • authentication
  • OIDC

在 Logto Enterprise SSO 中集成 Microsoft Entra ID (OIDC)

学习如何使用 Logto 集成 Microsoft Entra ID (OIDC) SSO。

Simeng
Simeng
Developer

作为一体化的身份和访问管理解决方案,Microsoft Entra ID,也被称为 Azure Active Directory (Azure AD),支持 OpenID Connect (OIDC) 和 Security Assertion Markup Language (SAML) 协议,用于单点登录 (SSO) 集成。在前面的教程中,我们向你展示了如何将你的 Logto 应用程序与 Microsoft Entra ID (SAML) SSO 集成。在本教程中,我们将向你展示如何将你的 Logto 应用程序与 Microsoft Entra ID (OIDC) SSO 集成。

前提条件

像往常一样,在我们开始之前,确保你有一个活跃的 Microsoft Entra 或 Azure 帐户。如果你还没有,可以在 这里 注册一个免费的 Microsoft 帐户。

一个 Logto 云帐户。如果你还没有,我们非常欢迎你注册一个 Logto 帐户。Logto 对个人用户是免费的。所有的功能对于开发租户都是可用的,包括 SSO 功能。

还需要一个已成功集成的 Logto 应用程序。如果你还没有,请按照 集成指南 创建一个 Logto 应用程序。

免费试用 Logto 云

集成

在 Logto 中创建一个新的 Microsoft Entra ID OIDC SSO 连接器

  1. 访问你的 Logto 云控制台 并导航到 Enterprise SSO 页面。

Logto 云控制台

  1. 点击 添加企业 SSO 按钮并选择 Microsoft Entra ID (OIDC) 作为 SSO 提供商。
azure connector

现在在另一个标签页中打开 Microsoft Entra 管理中心,并按照步骤在 Microsoft Entra 端创建一个 OIDC 应用。

注册一个新的 Microsoft Entra ID OIDC 应用

  1. 前往 Microsoft Entra 管理中心 并以管理员身份登录。

  2. 浏览到 身份 > 应用程序 > 应用注册。

Create Application

  1. 选择 新注册

  2. 输入应用程序名称并为你的应用程序选择适当的帐户访问类型。

  3. 选择 Web 作为应用程序平台。输入应用程序的重定向 URI。重定向 URI 是用户在通过 Microsoft Entra ID 验证后被重定向的 URL。

  4. 复制 Logto 连接器详情页面中的 重定向 URI(回调 URL) 并粘贴到 重定向 URI 字段中。

Configure Application
  1. 点击 注册 创建该应用程序。

在 Logto 中配置 SSO 连接

成功创建 Microsoft Entra OIDC 应用程序后,你需要将 IdP 配置返回到 Logto。在 Logto 控制台中导航到 连接 标签,并填写以下配置:

  1. 客户端 ID:由 Microsoft Entra 分配给你的 OIDC 应用程序的唯一标识符。此标识符用于 Logto 在 OIDC 流程中标识和验证应用程序。你可以在应用程序概览页面找到它,它显示为 应用程序(客户端)ID
Application Details
  1. 客户端密钥:创建一个新的客户端密钥并将值复制到 Logto。此密钥用于验证 OIDC 应用程序并保护 Logto 与 IdP 之间的通信。
Create Secret

  1. Issuer:发行者 URL,是 IdP 的唯一标识符,指定了 OIDC 身份提供者的位置。它是 OIDC 配置的重要组成部分,因为它帮助 Logto 发现所需的端点。

    不需要手动提供所有这些 OIDC 端点,Logto 会自动获取所有必要的配置和 IdP 端点。这是通过利用你提供的发行者 URL 并调用 IdP 的 discovery 端点来实现的。

    要获取发行者 URL,你可以在应用程序概览页面的 端点 部分找到它。

    找到 OpenID Connect 元数据文档 端点并复制 URL,但 不包含 结尾的 .well-known/openid-configuration 路径。这是因为 Logto 会在获取 OIDC 配置时自动将 .well-known/openid-configuration 附加到发行者 URL。

Endpoints
  1. 范围:一个空格分隔的字符串列表,用于定义 Logto 在 OIDC 验证过程中请求的权限或访问级别。scope 参数允许你指定 Logto 向 IdP 请求的哪些信息和访问权限。

scope 参数是可选的。无论自定义 scope 设置如何,Logto 将始终向 IdP 发送 openidprofileemail 范围。

点击 保存 完成配置过程。

在 Logto 中启用 Microsoft Entra ID (OIDC) 连接器

在 Logto 中设置邮箱域并启用 Microsoft Entra ID (OIDC) 连接器

在 Logto 的 SAML SSO 连接器 体验 标签中提供你组织的邮箱 。这将启用 SSO 连接器作为这些用户的身份验证方法。

Email Domain

具有指定域的邮箱地址的用户将只能使用 SAML SSO 连接器作为唯一的身份验证方法。

在 Logto 的登录体验中启用 Microsoft Entra ID (OIDC) 连接器

转到 登录体验 标签并启用企业 SSO。

启用 SSO

现在,你可以通过 登录体验预览 部分右上角的实时预览按钮测试 SSO 集成。