繁體中文(香港)
  • saml
  • azure
  • ad
  • sso

如何將 Azure AD (Entra ID)SAML SSO 與你的身份驗證提供者整合

了解如何使用標準 SAML 連接器將 Azure AD SSO 與 Logto 整合。

Simeng
Simeng
Developer

Logto 提供了一個開箱即用的 SAML 連接器來與單一登入身份提供者整合。每個提供者都有其特定的配置資訊。本指南將引導你完成將 Azure AD 與 Logto 整合的步驟。

免費試用 Logto 雲

在 Logto 中建立新的 SAML 社交連接器

  1. 訪問你的 Logto 雲主控台 並導航到連接器部分。

  2. 切換到 社交連接器 標籤,然後點擊右上方的 新增社交連接器 按鈕。

    Logto 雲主控台

  3. 選擇 SAML 連接器。

    SAML 連接器

    你將看到 SAML 連接器創建表單:

    連接器創建表單

  4. 填寫連接器的一般資訊

    連接器一般資訊

    欄位名稱描述
    社交登入按鈕的名稱將顯示在登入頁面的社交登入按鈕名稱。
    社交登入按鈕的 Logo URL將顯示在登入頁面的社交登入按鈕的 logo URL。
    身份提供者名稱身份提供者的名稱。這可能有助於你識別連接器的目標提供者。
    同步個人檔案資訊是僅在初次註冊後還是每次登入會話後都要從身份提供者同步用戶個人檔案資訊。

  5. 設定 Entity Id 和 Assertion Consumer Service URL

    Entity Id 和 Assertion Consumer Service URL

    Entity ID 和 ACS URL 是用於身份和服務提供者的 SAML 交換過程中的基本組件。

    SP Entity ID: Entity ID 是一個唯一標識符,用於表示 SAML 系統中的 SAML 實體。它用於區別 SAML 交換中的不同參與者。SP Entity ID 幫助 IdP 識別請求受眾並建立信任。

    ACS URL (Assertion Consumer Service URL): ACS URL 是由服務提供者(Logto)提供的特定端點,身份提供者(IdP)在成功驗證後將 SAML 斷言發送到此處。一旦用戶被 IdP 驗證,IdP 會生成一個包含用戶屬性的 SAML 斷言並對其進行數字簽名。然後 IdP 將此斷言發送到 SP 的 ACS URL。SP 驗證斷言,提取用戶屬性並登錄用戶。

    欄位名稱描述範例
    SP Entity ID (Audience)AzureAD 用於識別 Logto 身份的 SP Entity。建議使用你的 Logto 租戶端點作為 EntityIDhttps://<tenant-id>.logto.app
    IdP 單一登入 URLIdP 登入端點。在 Azure 中是可選的。此欄位用於 SP 識別 IdP 啟動的登入會話。目前 Logto 不支持 IdP 啟動的登入會話。請留空此欄位
    X.509 證書用於簽署 SAML 斷言的 IdP 證書。(我們稍後將從 AzureAD 獲取此證書)
    IdP 元資料 XML 格式IdP 元資料 XML 文件內容。(我們稍後將從 AzureAD 獲取此文件)
    斷言消費者服務 URLSP 的 ACS URL。SP(Logto)用於接收 SAML 斷言請求的端點。請將 tenant-id 和 connector-id 替換為你自己的。https://<tenant-id>.logto.app/api/authn/saml/<connector-id>

在 Azure 入口網站中建立 SAML SSO 應用程式

  1. 登錄到 Azure Active Directory 控制台。選擇“企業應用程式”。

    “企業應用程式

  2. 選擇“新應用程式”→“創建你自己的應用程式”。

    創建你自己的應用程式

  3. 初始化 SAML 應用程式。

    初始化 SAML 應用程式

  4. 使用你在 Logto 中設置的 EntityIdACS URL 填寫配置。

    SAML 應用程式配置

  5. 配置用戶屬性和聲明

    你可以通過點擊“用戶屬性和聲明”部分的“編輯”按鈕來配置用戶屬性。

    用戶屬性和聲明

    Logto 要求在 SAML 斷言中發送以下基本用戶屬性:

    聲明名稱屬性名稱
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddressuser.mail
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameuser.name

  6. 將群組和用戶分配給 SAML 應用程式 為了驗證用戶或用戶群組,我們需要將它們分配給 AzureAD SAML 應用程式。從導航菜單的“管理”部分中選擇“用戶和群組”。然後選擇“添加用戶/群組”。

    分配用戶和群組

  7. 下載證書和元資料文件以獲取 AzureAD IdP 詳細資訊。 點擊“下載”按鈕下載 Federation Metadata XML 文件和 證書(Base64) 文件。你將需要這些文件來完成 Logto 中的 SAML 連接器創建。

    下載 IdP 元資料和證書

返回 Logto 完成 SAML 連接的創建

切換回 Logto 雲主控台的 SAML 連接器創建表單,繼續填寫 IdP 詳細資訊。將 IdP 元資料 XML 文件內容複製到 IdP 元資料欄位。將 IdP 證書粘貼到 IdP 證書欄位。

IdP 詳細資訊

設置用戶個人檔案映射

根據 AzureAD 用戶聲明設置,你可以在 Logto 中設置鍵映射配置:

Logto 可用的用戶欄位有:

點擊“保存並完成”。

啟用 SAML 連接器

一旦你完成 SAML 連接器的創建,你可以通過導航到“登入體驗”部分並將該連接器新增為“社交登入”方法來啟用連接器:

啟用 SAML 連接器

使用我們的預覽演示應用驗證你的 AzureAD SSO 登入:

AzureAD SSO 登入

恭喜!你已成功將 AzureAD SSO 與 Logto 整合。你現在可以使用 AzureAD 登入你的 Logto 帳戶。

立即試用