作为一体化的身份和访问管理解决方案，Microsoft Entra ID，也被称为 Azure Active Directory (Azure AD)，支持 OpenID Connect (OIDC) 和 Security Assertion Markup Language (SAML) 协议，用于单点登录 (SSO) 集成。在前面的教程中，我们向你展示了如何将你的 Logto 应用程序与 Microsoft Entra ID (SAML) SSO 集成。在本教程中，我们将向你展示如何将你的 Logto 应用程序与 Microsoft Entra ID (OIDC) SSO 集成。 ## 前提条件像往常一样，在我们开始之前，确保你有一个活跃的 Microsoft Entra 或 Azure 帐户。如果你还没有，可以在 [这里](https://entra.microsoft.com/) 注册一个免费的 Microsoft 帐户。一个 Logto 云帐户。如果你还没有，我们非常欢迎你注册一个 [Logto](https://logto.io) 帐户。Logto 对个人用户是免费的。所有的功能对于开发租户都是可用的，包括 SSO 功能。还需要一个已成功集成的 Logto 应用程序。如果你还没有，请按照 [集成指南](https://docs.logto.io/docs/recipes/integrate-logto/) 创建一个 Logto 应用程序。 ## 集成 ### 在 Logto 中创建一个新的 Microsoft Entra ID OIDC SSO 连接器 1. 访问你的 [Logto 云控制台](https://cloud.logto.io) 并导航到 **Enterprise SSO** 页面。 ![Logto 云控制台](https://uploads.strapi.logto.io/1/enterprise_sso_57cf85aae8.webp) 2. 点击 **添加企业 SSO** 按钮并选择 **Microsoft Entra ID (OIDC)** 作为 SSO 提供商。 azure connector

现在在另一个标签页中打开 Microsoft Entra 管理中心，并按照步骤在 Microsoft Entra 端创建一个 OIDC 应用。 ### 注册一个新的 Microsoft Entra ID OIDC 应用 1. 前往 [Microsoft Entra 管理中心](https://entra.microsoft.com/) 并以管理员身份登录。 2. 浏览到身份 > 应用程序 > 应用注册。 Create Application

3. 选择 `新注册`。 4. 输入应用程序名称并为你的应用程序选择适当的帐户访问类型。 5. 选择 `Web` 作为应用程序平台。输入应用程序的重定向 URI。重定向 URI 是用户在通过 Microsoft Entra ID 验证后被重定向的 URL。 6. 复制 Logto 连接器详情页面中的 `重定向 URI（回调 URL）` 并粘贴到 `重定向 URI` 字段中。 Configure Application

6. 点击 `注册` 创建该应用程序。 ### 在 Logto 中配置 SSO 连接成功创建 Microsoft Entra OIDC 应用程序后，你需要将 IdP 配置返回到 Logto。在 Logto 控制台中导航到 `连接` 标签，并填写以下配置： 1. **客户端 ID**：由 Microsoft Entra 分配给你的 OIDC 应用程序的唯一标识符。此标识符用于 Logto 在 OIDC 流程中标识和验证应用程序。你可以在应用程序概览页面找到它，它显示为 `应用程序（客户端）ID`。 Application Details

2. **客户端密钥**：创建一个新的客户端密钥并将值复制到 Logto。此密钥用于验证 OIDC 应用程序并保护 Logto 与 IdP 之间的通信。 Create Secret

3. **Issuer**：发行者 URL，是 IdP 的唯一标识符，指定了 OIDC 身份提供者的位置。它是 OIDC 配置的重要组成部分，因为它帮助 Logto 发现所需的端点。不需要手动提供所有这些 OIDC 端点，Logto 会自动获取所有必要的配置和 IdP 端点。这是通过利用你提供的发行者 URL 并调用 IdP 的 discovery 端点来实现的。要获取发行者 URL，你可以在应用程序概览页面的 `端点` 部分找到它。找到 `OpenID Connect 元数据文档` 端点并复制 URL，但 **不包含** 结尾的 `.well-known/openid-configuration` 路径。这是因为 Logto 会在获取 OIDC 配置时自动将 `.well-known/openid-configuration` 附加到发行者 URL。 Endpoints

4. **范围**：一个空格分隔的字符串列表，用于定义 Logto 在 OIDC 验证过程中请求的权限或访问级别。scope 参数允许你指定 Logto 向 IdP 请求的哪些信息和访问权限。 scope 参数是可选的。无论自定义 scope 设置如何，Logto 将始终向 IdP 发送 `openid`、`profile` 和 `email` 范围。点击 `保存` 完成配置过程。 ## 在 Logto 中启用 Microsoft Entra ID (OIDC) 连接器 ### 在 Logto 中设置邮箱域并启用 Microsoft Entra ID (OIDC) 连接器在 Logto 的 SAML SSO 连接器 `体验` 标签中提供你组织的邮箱 `域`。这将启用 SSO 连接器作为这些用户的身份验证方法。 Email Domain

具有指定域的邮箱地址的用户将只能使用 SAML SSO 连接器作为唯一的身份验证方法。 ### 在 Logto 的登录体验中启用 Microsoft Entra ID (OIDC) 连接器转到 `登录体验` 标签并启用企业 SSO。 ![启用 SSO](https://uploads.strapi.logto.io/1/enable_sso_89a18cafae.webp) 现在，你可以通过 `登录体验预览` 部分右上角的实时预览按钮测试 SSO 集成。