作為一個全面的身份和訪問管理方案，Microsoft Entra ID，也就是 Azure Active Directory (Azure AD)，支持 OpenID Connect (OIDC) 和 Security Assertion Markup Language (SAML) 協議的單點登入 (SSO) 整合。在之前的教程中，我們展示了如何將你的 Logto 應用程式與 Microsoft Entra ID (SAML) SSO 整合。在本教程中，我們將展示如何將你的 Logto 應用程式與 Microsoft Entra ID (OIDC) SSO 整合。 ## 先決條件與往常一樣，在開始之前，確保你有一個有效的 Microsoft Entra 或 Azure 帳戶。如果你還沒有，你可以在[這裡](https://entra.microsoft.com/)註冊一個免費的 Microsoft 帳戶。一個 Logto 雲帳戶。如果你還沒有，非常歡迎你註冊一個 [Logto](https://logto.io) 帳戶。Logto 對個人使用是免費的，所有功能都提供給開發者租戶，包括 SSO 功能。還需要一個已經良好整合的 Logto 應用程式。如果你還沒有，請遵循[整合指南](https://docs.logto.io/docs/recipes/integrate-logto/)來建立一個 Logto 應用程式。 ## 整合 ### 在 Logto 中建立一個新的 Microsoft Entra ID OIDC SSO 連接器 1. 訪問你的 [Logto 雲控台](https://cloud.logto.io)，導航到 **Enterprise SSO** 頁面。 ![Logto 雲控台](https://uploads.strapi.logto.io/1/enterprise_sso_57cf85aae8.webp) 2. 點擊 **Add Enterprise SSO** 按鈕並選擇 **Microsoft Entra ID (OIDC)** 作為 SSO 提供商。 azure connector

現在讓我們在另一個標籤中打開 Microsoft Entra 管理中心，並按照步驟在 Microsoft Entra 一側創建一個 OIDC 應用程序。 ### 註冊一個新的 Microsoft Entra ID OIDC 應用程式 1. 前往 [Microsoft Entra 管理中心](https://entra.microsoft.com/)並以管理員身份登入。 2. 瀏覽到 Identity > Applications > App registrations。 Create Application

3. 選擇 `New registration`。 4. 輸入應用程式名稱並選擇適當的帳戶訪問類型。 5. 選擇 `Web` 作為應用程式平台。輸入應用程式的重定向 URI。重定向 URI 是用戶在使用 Microsoft Entra ID 驗證之後被重定向到的 URL。 6. 從 Logto 連接器詳細信息頁複製 `Redirect URI (Callback URL)` 並將其粘貼到 `Redirect URI` 欄位中。 Configure Application

6. 點擊 `Register` 來創建應用程式。 ### 在 Logto 配置 SSO 連接成功創建 Microsoft Entra OIDC 應用程式後，你需要將 IdP 配置回饋給 Logto。在 Logto 控台導航到 `Connection` 標籤，並填寫以下配置： 1. **Client ID**：由 Microsoft Entra 給你的 OIDC 應用程式指定的一個唯一標識符。這個標識符用於讓 Logto 在 OIDC 流程中識別和驗證應用程式。你可以在應用程式概況頁面找到它，名為 `Application (client) ID`。 Application Details

2. **Client Secret**：創建一個新的客戶端秘密，並將其值複製到 Logto。這個秘密用於驗證 OIDC 應用程式並確保 Logto 和 IdP 之間的通信安全。 Create Secret

3. **Issuer**：發行者 URL，是 IdP 的唯一標識符，指定可找到 OIDC 身份提供者的位置。這是 OIDC 配置的重要部分，因為它幫助 Logto 發現必要的端點。不需要手動提供所有這些 OIDC 端點，Logto 可自動獲取所有所需配置和 IdP 端點。這是通過使用你提供的發行者 URL 並調用 IdP 的發現端點完成的。若要獲取發行者 URL，你可以在應用程式概況頁面的 `Endpoints` 部分找到。找到 `OpenID Connect metadata document` 端點並複製 URL **不含**結尾路徑 `.well-known/openid-configuration`。因為 Logto 會自動添加 `.well-known/openid-configuration` 到發行者 URL 在獲取 OIDC 配置時。

4. **Scope**：一個空格分隔的字串列表，定義 Logto 在 OIDC 驗證過程中請求的所需許可或訪問級別。scope 參數讓你指定 Logto 向 IdP 請求的信息和訪問。 Scope 參數是可選的。無論自定義 scope 設置如何，Logto 將始終向 IdP 發送 `openid`、`profile` 和 `email` scopes。點擊 `Save` 完成配置過程 ## 啟用 Microsoft Entra ID (OIDC) 連接器在 Logto 中 ### 設置郵件域並啟用 Microsoft Entra ID (OIDC) 連接器在 Logto 中在 Logto 的 SAML SSO 連接器 `experience` 標籤提供你組織的 email `domains`。這樣將啟用 SSO 連接器作為這些用戶的驗證方式。 Email Domain

擁有指定域名郵件地址的用戶將被限制只能使用 SAML SSO 連接器作為他們的唯一驗證方式 ### 在 Logto 的登入體驗中啟用 Microsoft Entra ID (OIDC) 連接器前往 `Sign-in Experience` 標籤並啟用企業 SSO。 ![Enable SSO](https://uploads.strapi.logto.io/1/enable_sso_89a18cafae.webp) 現在，你可以使用 `Sign-in Experience preview` 部分右上角的現場預覽按鈕來測試 SSO 集成。