Saltar al contenido principal
Para nuestros nuevos amigos:

Logto es una alternativa a Auth0 diseñada para aplicaciones modernas y productos SaaS. Ofrece servicios tanto de Cloud como de código abierto para ayudarte a lanzar rápidamente tu sistema de gestión e identidad (IAM). Disfruta de autenticación, autorización y gestión multi-tenant todo en uno.

Recomendamos comenzar con un tenant de desarrollo gratuito en Logto Cloud. Esto te permite explorar todas las características fácilmente.

En este artículo, repasaremos los pasos para construir rápidamente la experiencia de inicio de sesión de OIDC enterprise SSO (autenticación de usuario) con iOS (Swift) y Logto.

Requisitos previos

  • Una instancia de Logto en funcionamiento. Consulta la página de introducción para comenzar.
  • Conocimientos básicos de iOS (Swift).
  • Una cuenta de OIDC enterprise SSO utilizable.

Create an application in Logto

Logto se basa en la autenticación OpenID Connect (OIDC) y la autorización OAuth 2.0. Admite la gestión de identidad federada a través de múltiples aplicaciones, comúnmente llamada inicio de sesión único (SSO).

Para crear tu aplicación Native app, simplemente sigue estos pasos:

  1. Abre la Consola de Logto. En la sección "Comenzar", haz clic en el enlace "Ver todo" para abrir la lista de marcos de aplicaciones. Alternativamente, puedes navegar a Consola de Logto > Aplicaciones, y hacer clic en el botón "Crear aplicación". Comenzar
  2. En el modal que se abre, haz clic en la sección "Native app" o filtra todos los marcos "Native app" disponibles usando las casillas de filtro rápido a la izquierda. Haz clic en la tarjeta del marco "iOS (Swift)" para comenzar a crear tu aplicación. Marcos
  3. Ingresa el nombre de la aplicación, por ejemplo, "Librería", y haz clic en "Crear aplicación".

🎉 ¡Ta-da! Acabas de crear tu primera aplicación en Logto. Verás una página de felicitaciones que incluye una guía de integración detallada. Sigue la guía para ver cómo será la experiencia en tu aplicación.

Integrate iOS (Swift) SDK

Añade Logto SDK como una dependencia

nota:

The minimum supported iOS version of Logto Swift SDK is iOS 13.

Logto Swift SDK comes in two major versions:

  • v1: Opens the sign-in experience in an embedded WebView, which is required by the native social plugin targets, but does not support passkey sign-in (WebView does not support WebAuthn, the underlying standard of passkeys).
  • v2 (beta): Opens the sign-in experience in ASWebAuthenticationSession (the system browser), which unlocks passkey sign-in and shares the browser session. Note that v2 removes the native social plugin targets; social connectors still work through the browser. If you depend on the native WeChat or Alipay SDK handoff, stay on v1.

This guide covers both versions. Choose your version in the tabs below, and the choice will be kept in sync throughout this guide.

Use the following URL to add Logto SDK as a dependency in Swift Package Manager.

https://github.com/logto-io/swift.git

Since Xcode 11, you can directly import a Swift package w/o any additional tool.

When Xcode asks for the package version, choose the version you want to integrate:

v2 is released as 2.0.0-beta.x prereleases until GA. Use 2.0.0-beta.1 or the latest 2.0.0-beta.x prerelease as the version. During beta, we recommend selecting the prerelease explicitly instead of relying on a normal version range to pick it automatically.

If you use Package.swift directly:

Package.swift
.package(url: "https://github.com/logto-io/swift.git", exact: "2.0.0-beta.1")

We do not support Carthage and CocoaPods at the time due to some technical issues.

Carthage

Carthage needs a xcodeproj file to build. We will try to find a workaround later.

CocoaPods

CocoaPods does not support local dependency and monorepo, thus it's hard to create a .podspec for this repo.

Inicializa LogtoClient

Inicializa el cliente creando una instancia de LogtoClient con un objeto LogtoConfig.

ContentView.swift
import Logto
import LogtoClient

let config = try? LogtoConfig(
  endpoint: "<your-logto-endpoint>", // Ej. http://localhost:3001
  appId: "<your-app-id>"
)
let client = LogtoClient(useConfig: config)
info:

Por defecto, almacenamos credenciales como el Token de ID (ID Token) y el Token de actualización (Refresh Token) en el Keychain. Así, el usuario no necesita iniciar sesión nuevamente cuando regresa.

Para desactivar este comportamiento, establece usingPersistStorage en false:

let config = try? LogtoConfig(
  // ...
  usingPersistStorage: false
)

Iniciar sesión

Antes de entrar en los detalles, aquí tienes una visión general rápida de la experiencia del usuario final. El proceso de inicio de sesión se puede simplificar de la siguiente manera:

  1. Tu aplicación invoca el método de inicio de sesión.
  2. El usuario es redirigido a la página de inicio de sesión de Logto. Para aplicaciones nativas, se abre el navegador del sistema.
  3. El usuario inicia sesión y es redirigido de vuelta a tu aplicación (configurada como el URI de redirección).

Sobre el inicio de sesión basado en redirección

  1. Este proceso de autenticación sigue el protocolo OpenID Connect (OIDC), y Logto aplica medidas de seguridad estrictas para proteger el inicio de sesión del usuario.
  2. Si tienes múltiples aplicaciones, puedes usar el mismo proveedor de identidad (Logto). Una vez que el usuario inicia sesión en una aplicación, Logto completará automáticamente el proceso de inicio de sesión cuando el usuario acceda a otra aplicación.

Para aprender más sobre la lógica y los beneficios del inicio de sesión basado en redirección, consulta Experiencia de inicio de sesión de Logto explicada.


Configure redirect URI

Vamos a cambiar a la página de detalles de la aplicación en Logto Console. Añade un URI de redirección io.logto.app://callback y haz clic en "Guardar cambios".

URI de redirección en Logto Console

In v2, the sign-in experience opens in ASWebAuthenticationSession (the system browser), and the redirect is routed back to your app through OS-level callback matching. For a custom scheme redirect URI such as io.logto.app://callback, register only the scheme part (io.logto.app) in your app's Info.plist, then add the full redirect URI to your Logto application's Redirect URIs.

In Xcode, open your app target, select Info, expand URL Types, and add one entry with io.logto.app in URL Schemes. If you edit Info.plist directly, add:

Info.plist
<key>CFBundleURLTypes</key>
<array>
  <dict>
    <key>CFBundleTypeRole</key>
    <string>Editor</string>
    <key>CFBundleURLName</key>
    <string>io.logto.app</string>
    <key>CFBundleURLSchemes</key>
    <array>
      <string>io.logto.app</string>
    </array>
  </dict>
</array>

For the browser flow in v2, you do not need to call LogtoClient.handle(url:); that plugin handoff API was removed with the embedded WebView flow.

You can also use an HTTPS redirect URI such as https://example.com/callback:

  1. Add the Associated Domains capability to your app.
  2. Configure webcredentials:example.com so ASWebAuthenticationSession can match HTTPS callbacks on iOS 17.4 and newer.
  3. If the same URL should also open your app as a Universal Link outside the authentication session, configure applinks:example.com and host a valid apple-app-site-association file for the domain and path.
  4. Add the HTTPS URI to your Logto application's Redirect URIs.
  5. Pass the same URI to signInWithBrowser.

On iOS 17.4 and newer, the SDK uses ASWebAuthenticationSession's HTTPS callback matching API so HTTPS redirects can automatically complete and dismiss the session. On older iOS versions, the authorization request can still use the HTTPS redirect URI, but the session may not close automatically unless your app handles the Universal Link callback itself. Keep a custom scheme redirect as a compatibility option if you need automatic completion on older iOS versions.

Sign-in and sign-out

nota:

Antes de llamar a .signInWithBrowser(redirectUri:), asegúrate de haber configurado correctamente el URI de redirección en la Consola de Administración.

In v2, client.signOut(postLogoutRedirectUri:) performs a complete sign-out: it clears the local credentials, revokes the refresh token, and ends the Logto session by opening the end session endpoint in the system browser. The browser then navigates back to your app through the post sign-out redirect URI. Before using it, switch to the application details page of Logto Console, add the post sign-out redirect URI io.logto.app://signed-out and click "Save changes". The post sign-out redirect URI can use the same custom scheme you registered for sign-in.

For example, in a SwiftUI app:

ContentView.swift
struct ContentView: View {
  @State var isAuthenticated: Bool

  private let redirectUri = "io.logto.app://callback"
  private let postLogoutRedirectUri = "io.logto.app://signed-out"

  init() {
    isAuthenticated = client.isAuthenticated
  }

  var body: some View {
    VStack {
      if isAuthenticated {
        Button("Sign Out") {
          Task { [self] in
            let error = await client.signOut(postLogoutRedirectUri: postLogoutRedirectUri)
            if let error = error {
              print(error)
              return
            }
            isAuthenticated = false
          }
        }
      } else {
        Button("Sign In") {
          Task { [self] in
            do {
              try await client.signInWithBrowser(redirectUri: redirectUri)
              isAuthenticated = true
            } catch let error as LogtoClientErrors.SignIn {
              // error occurred during sign in
            } catch {
              // other errors
            }
          }
        }
      }
    }
  }
}
nota:
  • You can also call client.signOut() without a post sign-out redirect URI. No Console configuration is needed in this case: the browser shows the Logto sign-out page, and the user returns to the app by dismissing it manually.
  • If no UI context is available, you can call client.clearCredentials() to clear the local credentials and revoke the refresh token. Note that this keeps the Logto session in the browser, so the next signInWithBrowser may silently sign the user back in through that session.

Punto de control: Prueba tu aplicación

Ahora, puedes probar tu aplicación:

  1. Ejecuta tu aplicación, verás el botón de inicio de sesión.
  2. Haz clic en el botón de inicio de sesión, el SDK iniciará el proceso de inicio de sesión y te redirigirá a la página de inicio de sesión de Logto.
  3. Después de iniciar sesión, serás redirigido de vuelta a tu aplicación y verás el botón de cierre de sesión.
  4. Haz clic en el botón de cierre de sesión para limpiar el almacenamiento de tokens y cerrar sesión.

Add OIDC enterprise SSO connector

Para simplificar la gestión de acceso y obtener salvaguardas a nivel empresarial para tus grandes clientes, conéctate con iOS (Swift) como un proveedor de identidad federado. El conector de SSO empresarial de Logto te ayuda a establecer esta conexión en minutos permitiendo la entrada de varios parámetros.

Para añadir un conector de SSO empresarial, simplemente sigue estos pasos:

  1. Navega a Logto console > Enterprise SSO.
Página de SSO
  1. Haz clic en el botón "Añadir conector empresarial" y elige tu tipo de proveedor de SSO. Elige entre conectores preconstruidos para Microsoft Entra ID (Azure AD), Google Workspace y Okta, o crea una conexión SSO personalizada usando el protocolo estándar OpenID Connect (OIDC) o SAML.
  2. Proporciona un nombre único (por ejemplo, inicio de sesión SSO para Acme Company).
Selecciona tu proveedor de SSO
  1. Configura la conexión con tu IdP en la pestaña "Conexión". Consulta las guías anteriores para cada tipo de conector.
Conexión SSO
  1. Personaliza la experiencia de SSO y el dominio de correo electrónico de la empresa en la pestaña "Experiencia". Los usuarios que inicien sesión con el dominio de correo electrónico habilitado para SSO serán redirigidos a la autenticación SSO.
Experiencia SSO
  1. Guarda los cambios.

Set up OIDC application on your IdP

Paso 1: Crea una aplicación OIDC en tu IdP

Inicia la integración de OIDC SSO creando una aplicación en el lado del proveedor de identidad (IdP). Necesitarás proporcionar las siguientes configuraciones desde el servidor de Logto.

  • URI de Callback: El URI de Callback de Logto, también conocido como URI de Redirección o URL de Respuesta, es un endpoint o URL específico que el IdP utiliza para redirigir el navegador del usuario después de una autenticación exitosa. Después de que un usuario se autentica exitosamente con el IdP, el IdP redirige el navegador del usuario de vuelta a este URI designado junto con un código de autorización. Logto completará el proceso de autenticación basado en el código de autorización recibido de este URI.

Rellena el URI de Callback de Logto en el formulario de configuración de la aplicación OIDC de tu IdP y continúa creando la aplicación. (La mayoría de los IdPs de OIDC ofrecen una amplia gama de tipos de aplicaciones para elegir. Para crear un conector de SSO basado en web en Logto, por favor elige el tipo Web Application.)

Paso 2: Configura OIDC SSO en Logto

Después de crear exitosamente una aplicación OIDC en el lado del proveedor de identidad (IdP), deberás proporcionar las configuraciones del IdP de vuelta a Logto. Navega a la pestaña Connection y completa las siguientes configuraciones:

  • Client ID: Un identificador único asignado a tu aplicación OIDC por el IdP. Este identificador es utilizado por Logto para identificar y autenticar la aplicación durante el flujo OIDC.
  • Client Secret: Un secreto confidencial compartido entre Logto y el IdP. Este secreto se utiliza para autenticar la aplicación OIDC y asegurar la comunicación entre Logto y el IdP.
  • Emisor (Issuer): La URL del emisor, un identificador único para el IdP, que especifica la ubicación donde se puede encontrar el proveedor de identidad OIDC. Es una parte crucial de la configuración OIDC, ya que ayuda a Logto a descubrir los endpoints necesarios. Para facilitar el proceso de configuración, Logto obtendrá automáticamente los endpoints y configuraciones OIDC requeridos. Esto se realiza utilizando el emisor que proporcionaste y haciendo una llamada a los endpoints de descubrimiento OIDC del IdP. Es imprescindible asegurarse de que el endpoint del emisor sea válido y esté configurado correctamente para permitir que Logto recupere la información necesaria de manera correcta. Después de una solicitud de obtención exitosa, deberías poder ver las configuraciones del IdP analizadas en la sección de emisores.

Paso 3: Configura alcances (Scopes) (Opcional)

Los alcances (Scopes) definen los permisos que tu aplicación solicita a los usuarios y controlan a qué datos puede acceder tu aplicación desde sus cuentas empresariales.

Configurar los alcances requiere ajustes en ambos lados:

  1. Tu proveedor de identidad (IdP) (Identity Provider): Configura qué permisos están permitidos para la autorización en la consola de tu IdP
    • Algunos IdP habilitan todos los alcances públicos por defecto (no se requiere acción)
    • Otros requieren que otorgues permisos explícitamente
  2. Conector empresarial de Logto: Especifica qué alcances solicitar durante la autenticación en la configuración del conector empresarial OIDC de Logto > campo Scopes.
    • Logto siempre incluye los alcances openid, profile y email para recuperar información básica de identidad del usuario, independientemente de tus configuraciones personalizadas de alcance.
    • Puedes añadir alcances adicionales (separados por espacios) para solicitar más información al IdP.
tip:

Si tu aplicación necesita acceder a APIs utilizando estos alcances, asegúrate de habilitar Almacenar tokens para acceso persistente a la API en tu conector empresarial de Logto. Consulta la siguiente sección para más detalles.

Paso 4: Almacena tokens para acceder a APIs de terceros (Opcional)

Si deseas acceder a las API del Proveedor de Identidad (Identity Provider) y realizar acciones con autorización del usuario, Logto necesita obtener alcances (scopes) específicos de API y almacenar tokens.

  1. Añade los alcances requeridos en el campo scope siguiendo las instrucciones anteriores.
  2. Activa Almacenar tokens para acceso persistente a la API en el conector empresarial OIDC de Logto. Logto almacenará de forma segura los tokens de acceso (access tokens) en el Secret Vault.
  3. Para los proveedores de identidad OIDC estándar, el alcance offline_access debe ser incluido para obtener un token de actualización (refresh token), evitando así solicitudes repetidas de consentimiento del usuario.

Paso 5: Establece dominios de correo electrónico y habilita el conector SSO

Proporciona los dominios de correo electrónico de tu organización en la pestaña de experiencia SSO del conector de Logto. Esto habilitará el conector SSO como un método de autenticación para esos usuarios.

Los usuarios con direcciones de correo electrónico en los dominios especificados serán redirigidos para usar tu conector SSO como su único método de autenticación.

Save your configuration

Verifica que hayas completado los valores necesarios en el área de configuración del conector Logto. Haz clic en "Guardar y listo" (o "Guardar cambios") y el conector OIDC enterprise SSO debería estar disponible ahora.

Enable OIDC enterprise SSO connector in Sign-in Experience

No necesitas configurar conectores empresariales individualmente, Logto simplifica la integración de SSO en tus aplicaciones con solo un clic.

  1. Navega a: Consola > Experiencia de inicio de sesión > Registro e inicio de sesión.
  2. Habilita el interruptor "SSO empresarial".
  3. Guarda los cambios.

Una vez habilitado, aparecerá un botón de "Inicio de sesión único (SSO)" en tu página de inicio de sesión. Los usuarios empresariales con dominios de correo electrónico habilitados para SSO pueden acceder a tus servicios utilizando sus proveedores de identidad empresariales (IdPs).

Detección automática de inicio de sesión SSO a través del dominio de correo electrónico Navegar al inicio de sesión SSO haciendo clic manualmente en el botón de enlace

Para obtener más información sobre la experiencia de usuario de SSO, incluyendo SSO iniciado por SP y SSO iniciado por IdP, consulta Flujos de usuario: SSO empresarial.

Testing and Validation

Regresa a tu aplicación iOS (Swift). Ahora deberías poder iniciar sesión con OIDC enterprise SSO. ¡Disfruta!

Further readings

Flujos de usuario final: Logto proporciona flujos de autenticación listos para usar, incluyendo MFA y SSO empresarial, junto con potentes APIs para la implementación flexible de configuraciones de cuenta, verificación de seguridad y experiencia multi-tenant.

Autorización (Authorization): La autorización define las acciones que un usuario puede realizar o los recursos a los que puede acceder después de ser autenticado. Explora cómo proteger tu API para aplicaciones nativas y de una sola página e implementar el Control de Acceso Basado en Roles (RBAC).

Organizaciones (Organizations): Particularmente efectivo en aplicaciones SaaS multi-tenant y B2B, la función de organización permite la creación de inquilinos, gestión de miembros, RBAC a nivel de organización y aprovisionamiento justo a tiempo.

Serie IAM del cliente: Nuestros artículos de blog en serie sobre la Gestión de Identidad y Acceso del Cliente (o Consumidor), desde los conceptos básicos hasta temas avanzados y más allá.