Zum Hauptinhalt springen

Drittanbieter-App (OAuth / OIDC)

Die Drittanbieteranwendungs-Integration von Logto ermöglicht es dir, Logto als Identitätsanbieter (IdP) für externe Anwendungen zu nutzen.

Ein Identitätsanbieter (IdP) ist ein Dienst, der Benutzeridentitäten überprüft und deren Anmeldeinformationen verwaltet. Nach der Bestätigung der Identität eines Benutzers generiert der IdP Authentifizierungstokens oder -assertions und ermöglicht dem Benutzer den Zugriff auf verschiedene Anwendungen oder Dienste, ohne sich erneut anmelden zu müssen.

Im Gegensatz zu den Anwendungen, die du im Leitfaden Logto in deine Anwendung integrieren erstellt hast und die von dir entwickelt und vollständig kontrolliert werden, sind Drittanbieteranwendungen unabhängige Dienste, die von externen Entwicklern oder Geschäftspartnern entwickelt wurden.

Dieser Integrationsansatz eignet sich hervorragend für gängige Geschäftsszenarien. Du kannst es Benutzern ermöglichen, mit ihren Logto-Konten auf Partneranwendungen zuzugreifen, ähnlich wie Unternehmensnutzer sich mit Google Workspace bei Slack anmelden. Du kannst auch eine offene Plattform aufbauen, auf der Drittanbieteranwendungen die Funktion „Mit Logto anmelden“ hinzufügen können, ähnlich wie „Mit Google anmelden“.

Logto ist ein Identitätsdienst, der auf dem OpenID Connect (OIDC)-Protokoll basiert und sowohl Authentifizierung (Authentication) als auch Autorisierung (Authorization) bereitstellt. Dadurch ist die Integration einer OIDC-Drittanbieteranwendung genauso unkompliziert wie bei einer klassischen Webanwendung.

Da OIDC auf OAuth 2.0 aufbaut und eine Authentifizierungsschicht hinzufügt, kannst du Drittanbieteranwendungen auch über das OAuth-Protokoll integrieren.

Drittanbieteranwendung in Logto erstellen

  1. Gehe zu Konsole > Anwendungen
  2. Wähle „Drittanbieter-App“ als Anwendungstyp und eines der folgenden Integrationsprotokolle:
    • OIDC / OAuth
  3. Gib einen Namen und eine Beschreibung für deine Anwendung ein und klicke auf die Schaltfläche „Erstellen“. Es wird eine neue Drittanbieteranwendung erstellt.

Alle erstellten Drittanbieteranwendungen werden auf der Anwendungsseite unter dem Tab „Drittanbieter-Apps“ katalogisiert. Diese Anordnung hilft dir, sie von deinen eigenen Anwendungen zu unterscheiden und alle Anwendungen an einem Ort einfacher zu verwalten.

OIDC-Konfigurationen einrichten

hinweis:

Bevor du die OIDC-Konfigurationen einrichtest, stelle bitte sicher, dass du eine OIDC-Drittanbieteranwendung erstellt hast.

  1. Gib die Redirect-URI deiner OIDC-Drittanbieteranwendung an. Dies ist die URL, zu der die Drittanbieteranwendung Benutzer weiterleitet, nachdem sie von Logto authentifiziert wurden. Diese Information findest du in der Regel auf der IdP-Verbindungsseite der Drittanbieteranwendung.

  2. Rufe die Client-ID und das Client-Secret von der Logto-Anwendungsdetailseite ab und trage sie in die IdP-Verbindungseinstellungen deines Dienstanbieters ein.

  3. Rufe den Autorisierungsendpunkt und den Token-Endpunkt von der Logto-Anwendungsdetailseite ab und gib sie an deinen Dienstanbieter weiter. Wenn dein Dienstanbieter OIDC-Discovery unterstützt, kannst du einfach den Discovery-Endpunkt von der Logto-Anwendungsdetailseite kopieren und an deinen Dienstanbieter weitergeben. Der Dienstanbieter kann dann alle aktuellen OIDC-Authentifizierungsinformationen automatisch vom Discovery-Endpunkt abrufen. Andernfalls klicke auf die Schaltfläche Endpunktdetails anzeigen, um alle OIDC-Authentifizierungsendpunkte einzusehen.

Aus Sicherheitsgründen werden alle OIDC-Drittanbieteranwendungen nach der Authentifizierung durch Logto zu einem Zustimmungsbildschirm für die Benutzerautorisierung weitergeleitet.

Alle von Drittanbietern angeforderten Berechtigungen für Benutzerprofile, API-Ressourcen-Berechtigungen, Organisationsberechtigungen und Informationen zur Organisationsmitgliedschaft werden auf dem Zustimmungsbildschirm angezeigt.

Diese angeforderten Berechtigungen werden den Drittanbieteranwendungen erst gewährt, nachdem der Benutzer auf die Schaltfläche „Autorisieren“ geklickt hat.

consent screen

Weitere Aktionen

FAQs

Logto verwendet rollenbasierte Zugangskontrolle (RBAC), um Benutzerberechtigungen zu verwalten. Auf dem Zustimmungsbildschirm werden nur Berechtigungen (Scopes) angezeigt, die dem Benutzer bereits durch seine Rollen zugewiesen wurden. Wenn eine Drittanbieter-App Berechtigungen anfordert, die der Benutzer nicht besitzt, werden diese ausgeschlossen, um eine unbefugte Zustimmung zu verhindern.

So verwaltest du dies:

  • Definiere globale Rollen oder Organisationsrollen mit spezifischen Berechtigungen.
  • Weisen Benutzern Rollen entsprechend ihrem Zugriffsbedarf zu.
  • Benutzer erben die Berechtigungen automatisch von ihren Rollen.

Anwendungsfall: Apache Answer integrieren, um eine Community für deine Nutzer zu starten

Logto als Drittanbieter-Identitätsanbieter (IdP) verwenden