SAML 應用程式 (SAML app)
Logto 支援作為 身分提供者 (IdP, Identity Provider) 與基於 SAML 協議的應用程式 服務提供者 (SP, Service Provider) 整合。透過 SAML 應用程式整合,你可以為企業用戶提供安全、標準化的單一登入 (SSO, Single Sign-On) 體驗。
介紹
SAML(Security Assertion Markup Language)是一種基於 XML 的開放標準,用於在不同主體間交換驗證 (Authentication) 與授權 (Authorization) 資料。在 SAML 整合中:
- Logto 作為身分提供者 (IdP):擔任中心驗證 (Authentication) 授權機構,管理使用者身分並簽發 SAML 斷言
- 你的應用程式作為服務提供者 (SP):依賴 Logto 進行使用者驗證 (Authentication),並消費 SAML 斷言以進行存取控制
SAML 驗證 (Authentication) 運作方式
Logto 的 SAML 驗證 (Authentication) 主要遵循 SP 發起流程(SP-initiated flow),即驗證流程從你的應用程式(服務提供者)開始。簡要流程如下:
- 使用者嘗試存取你的應用程式
- 你的應用程式產生 SAML 請求並將使用者重新導向至 Logto
- 使用者在 Logto 進行驗證 (Authentication)
- Logto 產生包含使用者資訊的 SAML 回應
- 你的應用程式驗證回應並授予存取權限
如需更詳細的 SAML 驗證 (Authentication) 流程說明及與其他協議的比較,請參閱我們的 驗證流程指南。
SAML 整合優勢
- 強化安全性:加密通訊與數位簽章確保資料交換安全
- 簡化使用者體驗:使用者僅需登入一次即可存取多個應用程式
- 降低管理負擔:集中化使用者管理與存取控制
- 企業級準備:被眾多組織廣泛採用以實現安全的身分聯盟
主要特性
- 標準化整合:完整支援 SAML 2.0 協議,確保與各類服務提供者相容
- 彈性屬性對應:支援自訂使用者屬性對應,滿足不同應用資料需求
- 安全可靠:支援簽章與加密,保障驗證 (Authentication) 流程安全
- 自動化配置:支援透過 metadata URL 或檔案快速完成 SAML 整合設定
適用場景
SAML 應用程式整合適用於以下情境:
- 需要單一登入 (SSO, Single Sign-On) 的企業應用系統
- 與支援 SAML 協議的第三方服務整合
- 對高安全性與標準化驗證 (Authentication) 流程有需求
在 Logto 建立 SAML 應用程式
- 前往 主控台 > 應用程式
- 選擇「我的應用程式」作為應用程式類型,並選擇整合協議「SAML」
- 輸入應用程式名稱與描述,點擊「建立」按鈕,即可建立新的 SAML 應用程式
設定指南
要開始使用 SAML 應用程式整合,請完成以下步驟:
- 設定 SAML 應用程式:設定 SAML 整合的基本參數
- 設定屬性對應:定義如何將 Logto 使用者屬性對應到 SAML 斷言
完成設定後,你的應用程式即可透過 SAML 協議與 Logto 安全驗證 (Authentication) 並交換資料。