繁體中文(香港)
  • azure
  • sso
  • authentication
  • OIDC

在 Logto Enterprise SSO 中整合 Microsoft Entra ID (OIDC)

學習如何使用 Logto 整合 Microsoft Entra ID (OIDC) SSO。

Simeng
Simeng
Developer

作為一個全面的身份和訪問管理方案,Microsoft Entra ID,也就是 Azure Active Directory (Azure AD),支持 OpenID Connect (OIDC) 和 Security Assertion Markup Language (SAML) 協議的單點登入 (SSO) 整合。在之前的教程中,我們展示了如何將你的 Logto 應用程式與 Microsoft Entra ID (SAML) SSO 整合。在本教程中,我們將展示如何將你的 Logto 應用程式與 Microsoft Entra ID (OIDC) SSO 整合。

先決條件

與往常一樣,在開始之前,確保你有一個有效的 Microsoft Entra 或 Azure 帳戶。如果你還沒有,你可以在這裡註冊一個免費的 Microsoft 帳戶。

一個 Logto 雲帳戶。如果你還沒有,非常歡迎你註冊一個 Logto 帳戶。Logto 對個人使用是免費的,所有功能都提供給開發者租戶,包括 SSO 功能。

還需要一個已經良好整合的 Logto 應用程式。如果你還沒有,請遵循整合指南來建立一個 Logto 應用程式。

免費試用 Logto Cloud

整合

在 Logto 中建立一個新的 Microsoft Entra ID OIDC SSO 連接器

  1. 訪問你的 Logto 雲控台,導航到 Enterprise SSO 頁面。

Logto 雲控台

  1. 點擊 Add Enterprise SSO 按鈕並選擇 Microsoft Entra ID (OIDC) 作為 SSO 提供商。
azure connector

現在讓我們在另一個標籤中打開 Microsoft Entra 管理中心,並按照步驟在 Microsoft Entra 一側創建一個 OIDC 應用程序。

註冊一個新的 Microsoft Entra ID OIDC 應用程式

  1. 前往 Microsoft Entra 管理中心並以管理員身份登入。

  2. 瀏覽到 Identity > Applications > App registrations。

Create Application

  1. 選擇 New registration

  2. 輸入應用程式名稱並選擇適當的帳戶訪問類型。

  3. 選擇 Web 作為應用程式平台。輸入應用程式的重定向 URI。重定向 URI 是用戶在使用 Microsoft Entra ID 驗證之後被重定向到的 URL。

  4. 從 Logto 連接器詳細信息頁複製 Redirect URI (Callback URL) 並將其粘貼到 Redirect URI 欄位中。

Configure Application
  1. 點擊 Register 來創建應用程式。

在 Logto 配置 SSO 連接

成功創建 Microsoft Entra OIDC 應用程式後,你需要將 IdP 配置回饋給 Logto。在 Logto 控台導航到 Connection 標籤,並填寫以下配置:

  1. Client ID:由 Microsoft Entra 給你的 OIDC 應用程式指定的一個唯一標識符。這個標識符用於讓 Logto 在 OIDC 流程中識別和驗證應用程式。你可以在應用程式概況頁面找到它,名為 Application (client) ID
Application Details
  1. Client Secret:創建一個新的客戶端秘密,並將其值複製到 Logto。這個秘密用於驗證 OIDC 應用程式並確保 Logto 和 IdP 之間的通信安全。
Create Secret

  1. Issuer:發行者 URL,是 IdP 的唯一標識符,指定可找到 OIDC 身份提供者的位置。這是 OIDC 配置的重要部分,因為它幫助 Logto 發現必要的端點。

    不需要手動提供所有這些 OIDC 端點,Logto 可自動獲取所有所需配置和 IdP 端點。這是通過使用你提供的發行者 URL 並調用 IdP 的發現端點完成的。

    若要獲取發行者 URL,你可以在應用程式概況頁面的 Endpoints 部分找到。

    找到 OpenID Connect metadata document 端點並複製 URL 不含結尾路徑 .well-known/openid-configuration。因為 Logto 會自動添加 .well-known/openid-configuration 到發行者 URL 在獲取 OIDC 配置時。

Endpoints
  1. Scope:一個空格分隔的字串列表,定義 Logto 在 OIDC 驗證過程中請求的所需許可或訪問級別。scope 參數讓你指定 Logto 向 IdP 請求的信息和訪問。

Scope 參數是可選的。無論自定義 scope 設置如何,Logto 將始終向 IdP 發送 openidprofileemail scopes。

點擊 Save 完成配置過程

啟用 Microsoft Entra ID (OIDC) 連接器在 Logto 中

設置郵件域並啟用 Microsoft Entra ID (OIDC) 連接器在 Logto 中

在 Logto 的 SAML SSO 連接器 experience 標籤提供你組織的 email domains。這樣將啟用 SSO 連接器作為這些用戶的驗證方式。

Email Domain

擁有指定域名郵件地址的用戶將被限制只能使用 SAML SSO 連接器作為他們的唯一驗證方式

在 Logto 的登入體驗中啟用 Microsoft Entra ID (OIDC) 連接器

前往 Sign-in Experience 標籤並啟用企業 SSO。

Enable SSO

現在,你可以使用 Sign-in Experience preview 部分右上角的現場預覽按鈕來測試 SSO 集成。