Zum Hauptinhalt springen

Enterprise SSO-Identität

Enterprise SSO-Konto-Verknüpfung

Neue Benutzer melden sich mit Enterprise SSO an

Wenn sich ein neuer Benutzer mit einer neuen Enterprise SSO-Identität anmeldet, erstellt Logto automatisch ein neues Benutzerkonto, das mit der Enterprise-Identität verknüpft ist. primary email, name und avatar werden automatisch mit den vom IdP bereitgestellten Daten ausgefüllt. Weitere zusätzliche Benutzerprofildaten werden im SSO-Identitätsprofil des Benutzers gespeichert.

hinweis:

Die Profillink-Situation kann unterschiedlich sein, wenn das SAML-Attribut-Mapping nicht korrekt konfiguriert ist oder die Benutzer-E-Mail nicht vom Identitätsanbieter bereitgestellt wird.

Bestehende Benutzer melden sich mit Enterprise SSO an

Wenn die Arbeits-E-Mail-Adresse, die mit der Enterprise SSO-Identität verknüpft ist, mit einem bestehenden Benutzerkonto in Logto übereinstimmt, verknüpft Logto die Enterprise SSO-Identität automatisch mit dem bestehenden Benutzerkonto.

hinweis:

Sobald eine E-Mail-Domäne mit einem Enterprise SSO-Connector verknüpft wurde, werden alle bestehenden Benutzer mit der angegebenen E-Mail-Domäne darauf beschränkt, sich nur noch mit dem Enterprise SSO-Connector anzumelden. Ihre bisherigen Anmeldemethoden werden blockiert, z. B. E-Mail/Passwort, E-Mail-Bestätigungscode und soziale Anmeldemethoden.

hinweis:

Enterprise SSO-Benutzer können auch keine Passkey-Anmeldung binden oder verwenden. Ihre Authentifizierung soll im Enterprise IdP-Flow verbleiben.

Multi-Faktor-Authentifizierung (MFA) mit Enterprise SSO

Bei der Verwendung von Enterprise SSO werden MFA-Anforderungen in der Regel vom IdP verwaltet. In Logto gelten alle vom IdP authentifizierten Identitäten als vertrauenswürdig, daher wird die MFA-Validierung für Benutzer, die sich über Enterprise SSO anmelden, übersprungen, um die Benutzererfahrung zu verbessern. Es ist wichtig sicherzustellen, dass der MFA-Schutz auf der IdP-Seite aktiviert ist.

Löschen eines Enterprise Connectors

Wenn du einen Enterprise Connector aus Logto löschst:

  • Benutzerkonten bleiben erhalten: Die Benutzerkonten werden nicht gelöscht; nur ihre Verknüpfung mit dem Enterprise-Identitätsanbieter wird entfernt.
  • Beim nächsten Anmeldeversuch: Beim nächsten Anmeldeversuch werden diese Benutzer aufgefordert, eine alternative Methode zu verwenden, wie z. B. die in Logto konfigurierte Standard-Anmeldemethode (z. B. E-Mail und Passwort). Falls sie zuvor kein Passwort festgelegt haben, werden sie an dieser Stelle dazu aufgefordert, eines zu erstellen.
  • Löschen des Benutzer-SSO-Identitätsprofils: Die SSO-Identität des Benutzers sowie die zugehörigen Profildaten werden aus Logto gelöscht.