将 Azure AD 集成到 Logto 中
学习如何使用标准 SAML 连接器将 Azure AD SSO 集成到 Logto 中。
介绍
Logto 提供一个开箱即用的 SAML 连接器,以便与 SSO 身份提供者集成。每个提供方都有自己的特定配置信息。本指南将指导你完成将 Azure AD 与 Logto 集成的步骤。
在 Logto 中创建一个新的 SAML 社交连接器
-
访问你的 Logto 云控制台,并导航到连接器部分。
-
切换到 Social connectors 标签,然后点击右上角的 Add Social Connector 按钮。
-
选择 SAML 连接器。
你将看到 SAML 连接器创建表单:
-
填写连接器的一般信息
字段名 描述 社交登录按钮名称 登录页面上将显示的社交登录按钮的名称。 社交登录按钮的 Logo URL 登录页面上将显示的社交登录按钮的 Logo URL。 身份提供商名称 身份提供商的名称。这可能帮助你识别连接器的目标提供商。 同步个人信息 是否仅在首次注册后或每次登录会话后从身份提供商同步用户个人信息。 -
设置实体 ID 和断言消费者服务 URL
"实体 ID" 和 "ACS URL" 是用于 SAML 交换过程中身份和服务提供商间的重要组成部分。
SP 实体 ID: 实体 ID 是在基于 SAML 的系统中代表 SAML 实体的唯一标识符。它用于区分 SAML 交换中的不同参与者。SP 实体 ID 帮助 IdP 识别请求受众并建立信任。
ACS URL (断言消费者服务 URL): ACS URL 是服务提供商(Logto)提供的特定端点,身份提供商 (IdP) 在成功认证后将 SAML 断言发送至此端点。当用户被 IdP 认证后,IdP 生成包含用户属性且被数字签名的 SAML 断言。然后,IdP 将此断言发送到 SP 的 ACS URL。SP 验证断言、提取用户属性并登录用户。
字段名 描述 示例 SP 实体 ID(受众) AzureAD 使用的 SP 实体,用于识别 Logto 的身份。建议使用你的 Logto 租户端点作为实体 ID。 https:// <tenant-id>
.logto.appIdP 单点登录 URL IdP 登录端点。在 Azure 中是可选的。此字段用于 SP 以识别 IdP 发起的登录会话。目前 Logto 不支持 IdP 发起的登录会话。请留空此字段。 X.509 证书 用于签署 SAML 断言的 IdP 证书。(我们将在稍后从 AzureAD 获取此证书) IdP 元数据 XML 格式 IdP 元数据 XML 文件内容。(我们将在稍后从 AzureAD 获取此文件) 断言消费者服务 URL SP 的 ACS URL。SP (Logto) 接受 SAML 断言请求的端点。用你自己的 tenant-id 和 connector-id 替换。 https:// <tenant-id>
.logto.app/api/authn/saml/<connector-id>
在 Azure 门户中创建一个 SAML SSO 应用程序
-
登录到 Azure Active Directory 控制台。选择“企业应用程序”。
-
选择“新应用程序” → “创建你自己的应用程序”。
-
初始化一个 SAML 应用程序。
-
使用你在 Logto 中设置的
EntityId
和ACS URL
填写配置。 -
配置用户属性和声明
你可以通过点击“编辑”按钮,在“用户属性和声明”部分配置用户属性。
Logto 需要在 SAML 断言中发送以下基本用户属性:
声明名称 属性名称 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
user.mail http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
user.name -
将组和用户分配给 SAML 应用程序 为了让用户或用户组被认证,我们需要将它们分配给 AzureAD SAML 应用程序。在导航菜单的“管理”部分选择“用户和组”。然后选择“添加用户/组”。
-
通过下载证书和元数据文件获取 AzureAD IdP 详细信息。 点击“下载”按钮,下载
Federation Metadata XML
文件和Certificate (Base64)
文件。你将需要这些文件来完成 Logto 中的 SAML 连接器创建。
返回 Logto 完成 SAML 连接创建
切换 回 Logto 云控制台的 SAML 连接器创建表单,继续填写 IdP 详细信息。将 IdP 元数据 XML 文件内容复制到 IdP 元数据字段中。将 IdP 证书粘贴到 IdP 证书字段中。
设置用户资料映射
根据 AzureAD 用户声明设置,你可以在 Logto 中进行键映射配置:
Logto 可用的用户字段有:
点击“保存并完成”。
启用 SAML 连接器
完成 SAML 连接器创建后,你可以通过导航到 "Sign-in experience" 部分并将其添加为 "Social sign-in" 方法来启用连接器:
使用我们的预览演示应用程序验证你的 AzureAD SSO 登录:
恭喜!你已成功将 AzureAD SSO 与 Logto 集成。现在你可以使用 AzureAD 登录你的 Logto 账户。