Zum Hauptinhalt springen

Drittanbieter-App (OAuth / OIDC)

Die Integration von Drittanbieteranwendungen in Logto ermöglicht es dir, Logto als Identitätsanbieter (IdP) für externe Anwendungen zu nutzen.

Ein Identitätsanbieter (IdP) ist ein Dienst, der Benutzeridentitäten überprüft und deren Anmeldedaten verwaltet. Nach der Bestätigung der Identität eines Benutzers generiert der IdP Authentifizierungstoken oder -aussagen und ermöglicht dem Benutzer den Zugriff auf verschiedene Anwendungen oder Dienste, ohne sich erneut anmelden zu müssen.

Im Gegensatz zu den Anwendungen, die du im Leitfaden Logto in deine Anwendung integrieren erstellt hast und die von dir entwickelt und vollständig kontrolliert werden, sind Drittanbieteranwendungen unabhängige Dienste, die von externen Entwicklern oder Geschäftspartnern entwickelt wurden.

Dieser Integrationsansatz eignet sich hervorragend für gängige Geschäftsszenarien. Du kannst es Benutzern ermöglichen, mit ihren Logto-Konten auf Partneranwendungen zuzugreifen, ähnlich wie Unternehmensbenutzer sich mit Google Workspace bei Slack anmelden. Du kannst auch eine offene Plattform aufbauen, auf der Drittanbieteranwendungen die Funktion „Mit Logto anmelden“ hinzufügen können, ähnlich wie „Mit Google anmelden“.

Logto ist ein Identitätsdienst, der auf dem OpenID Connect (OIDC)-Protokoll basiert und sowohl Authentifizierung (Authentication) als auch Autorisierung (Authorization) bereitstellt. Dadurch wird die Integration einer OIDC-Drittanbieter-App genauso unkompliziert wie bei einer herkömmlichen Webanwendung.

Da OIDC auf OAuth 2.0 aufbaut und eine Authentifizierungsschicht hinzufügt, kannst du Drittanbieteranwendungen auch über das OAuth-Protokoll integrieren.

Drittanbieteranwendung in Logto erstellen

  1. Gehe zu Konsole > Anwendungen.
  2. Klicke auf die Schaltfläche „Anwendung erstellen“. Wähle „Drittanbieter-App“ als Anwendungstyp und eines der folgenden Integrationsprotokolle:
    • OIDC / OAuth
  3. Gib einen Namen und eine Beschreibung für deine Anwendung ein und klicke auf „Erstellen“. Eine neue Drittanbieteranwendung wird erstellt.

Alle erstellten Drittanbieteranwendungen werden auf der Anwendungsseite unter dem Tab „Drittanbieter-Apps“ katalogisiert. Diese Anordnung hilft dir, sie von deinen eigenen Anwendungen zu unterscheiden und alle Anwendungen an einem Ort zu verwalten.

OIDC-Konfigurationen einrichten

hinweis:

Bevor du die OIDC-Konfigurationen einrichtest, stelle bitte sicher, dass du eine OIDC-Drittanbieteranwendung erstellt hast.

  1. Gib die Redirect-URI deiner OIDC-Drittanbieteranwendung an. Dies ist die URL, zu der die Drittanbieteranwendung Benutzer weiterleitet, nachdem sie von Logto authentifiziert wurden. Diese Information findest du in der Regel auf der IdP-Verbindungsseite der Drittanbieteranwendung.

  2. Rufe die Client-ID und das Client-Secret von der Logto-Anwendungsdetailseite ab und trage sie in die IdP-Verbindungseinstellungen deines Service-Providers ein.

  3. Rufe den Autorisierungsendpunkt und den Token-Endpunkt von der Logto-Anwendungsdetailseite ab und gib sie an deinen Service-Provider weiter. Wenn dein Service-Provider OIDC-Discovery unterstützt, kannst du einfach den Discovery-Endpunkt von der Logto-Anwendungsdetailseite kopieren und an deinen Service-Provider weitergeben. Der Service-Provider kann dann automatisch alle aktuellen OIDC-Authentifizierungsinformationen vom Discovery-Endpunkt abrufen. Andernfalls klicke auf die Schaltfläche Endpunktdetails anzeigen, um alle OIDC-Authentifizierungsendpunkte einzusehen.

Aus Sicherheitsgründen werden alle OIDC-Drittanbieteranwendungen nach der Authentifizierung durch Logto zu einem Zustimmungsbildschirm (Consent screen) für die Benutzerautorisierung weitergeleitet.

Alle von Drittanbietern angeforderten Berechtigungen für Benutzerprofile, API-Ressourcen-Berechtigungen, Organisationsberechtigungen und Informationen zur Organisationsmitgliedschaft werden auf dem Zustimmungsbildschirm angezeigt.

Diese angeforderten Berechtigungen werden den Drittanbieteranwendungen erst gewährt, nachdem der Benutzer auf die Schaltfläche „Autorisieren“ geklickt hat.

consent screen

Weitere Aktionen

FAQs

Logto verwendet rollenbasierte Zugangskontrolle (RBAC), um Benutzerberechtigungen zu verwalten. Auf dem Zustimmungsbildschirm werden nur Berechtigungen (Scopes) angezeigt, die dem Benutzer bereits durch seine Rollen zugewiesen wurden. Wenn eine Drittanbieter-App Berechtigungen anfordert, die der Benutzer nicht besitzt, werden diese ausgeschlossen, um eine unbefugte Zustimmung zu verhindern.

So verwaltest du dies:

  • Definiere globale Rollen oder Organisationsrollen mit spezifischen Berechtigungen.
  • Weisen Benutzern Rollen entsprechend ihrem Zugriffsbedarf zu.
  • Benutzer erben automatisch die Berechtigungen ihrer Rollen.

Anwendungsfall: Integriere Apache Answer, um eine Community für deine Nutzer zu starten

Logto als Drittanbieter-Identitätsanbieter (IdP) verwenden