Zum Hauptinhalt springen

SP-initiiertes SSO

SP-initiiertes SSO, die Standard- und sicherere Methode im Vergleich zu IdP-initiiertem SSO, ermöglicht es Unternehmensbenutzern, den SSO-Anmeldeprozess von der Logto-Anmeldeseite aus zu starten. Logto unterstützt sowohl die E-Mail-Domain-Aufforderung SSO als auch den direkten Anmeldeparameter für SSO.

SP-initiiertes SSO einrichten

  1. Enterprise SSO aktivieren in deinem Identitätssystem

    Um Enterprise SSO zu aktivieren, navigiere zur Konsole > Anmeldeerfahrung > Anmeldung und Registrierung und aktiviere die Einstellung "Enterprise SSO aktivieren". Sobald aktiviert, erscheint ein "Single Sign-On"-Button auf deiner Anmeldeseite. Unternehmensbenutzer mit SSO-aktivierten E-Mail-Domains können über ihre Unternehmensidentitätsanbieter auf deine Dienste zugreifen.

  2. Enterprise-Connectors erstellen für verschiedene Kunden

    Als Nächstes musst du jeden Unternehmensidentitätsanbieter für deine Kunden integrieren. Ähnlich wie bei der sozialen Anmeldung, erstelle einen neuen Enterprise-Connector in Logto und konfiguriere die erforderlichen Einstellungen. Navigiere zur Konsole > Enterprise SSO, klicke auf den Button "Enterprise-Connector hinzufügen" und folge den Anweisungen, um den Connector einzurichten. Siehe Enterprise SSO Connector Einrichtung.

  3. E-Mail-Domains einrichten für den Enterprise-Connector

    Enterprise SSO-Identitäten werden typischerweise durch eine Unternehmens-E-Mail-Domain erkannt. Im SSO-Erfahrung-Tab auf der Detailseite jedes Enterprise-Connectors kannst du die zugehörigen E-Mail-Domains angeben.

    Benutzer mit den angegebenen E-Mail-Domains werden darauf beschränkt, sich ausschließlich über diesen Enterprise SSO-Connector anzumelden, während andere Anmeldemethoden – wie E-Mail-Verifizierungscodes oder E-Mail-Passwort-Authentifizierung – für diese Benutzer deaktiviert werden. Der SSO-Connector wird nur für Benutzer mit den angegebenen E-Mail-Domains sichtbar sein.

    hinweis

    Öffentliche E-Mail-Domains (z. B. gmail.com, yahoo.com) können nicht mit einem Enterprise-Connector verknüpft werden.

SP-initiiertes SSO-Erlebnis

SSO wird aktiviert, wenn Benutzer versuchen, sich mit einer für SSO konfigurierten Unternehmens-E-Mail-Domain anzumelden. Dieser Prozess umgeht Standardverifizierungsmethoden wie Passwörter.

  1. Single Sign-On Button:

    Wenn die Enterprise SSO-Anmeldemethode aktiviert ist, erscheint ein "Single Sign-On"-Button als alternative Anmeldeoption auf der Anmeldeseite. Durch Klicken auf diesen Link werden Benutzer aufgefordert, ihre Unternehmens-E-Mail-Adresse einzugeben, um den SSO-Prozess zu starten.

    • Einzelner Connector: Wenn nur ein Enterprise SSO-Connector mit der E-Mail-Domain des Benutzers verknüpft ist, wird der Benutzer direkt zur IdP-Anmeldeseite weitergeleitet.
    • Mehrere Connectors: Wenn mehrere Enterprise SSO-Connectors mit der E-Mail-Domain des Benutzers verknüpft sind, wählt der Benutzer zunächst den gewünschten IdP aus einer Liste aus, bevor er zur IdP-Anmeldeseite weitergeleitet wird.

    Single Sign-On Button

  2. Universelle E-Mail-Anmeldung:

    Im universellen Identifikator-Anmeldeformular (mit aktivierter E-Mail-Anmeldemethode) ist die Erkennung von Enterprise SSO-E-Mail-Domains standardmäßig aktiviert. Wenn Benutzer ihre E-Mail-Adresse eingeben, erkennt Logto automatisch, ob ein Enterprise SSO-Connector mit dieser Domain verknüpft ist. Wenn eine Übereinstimmung gefunden wird, aktualisiert sich das Standard-Anmeldeformular: Der "Anmelden"-Button ändert sich in einen "Single Sign-On"-Button, der den Benutzer darauf beschränkt, sich mit dem/den Enterprise SSO-Connector(en) anzumelden.

    Universelle E-Mail-Anmeldung

FAQs

Kann ich Organisationsname / Domain anstelle von E-Mail-Domain verwenden, um zum IdP weiterzuleiten?

Derzeit unterstützt die vorgefertigte Anmeldeerfahrung von Logto nur E-Mail-Domain-Aufforderung SSO, nicht Organisations-Domain-Aufforderung SSO.

Du kannst eine benutzerdefinierte Routing-Seite auf deiner Client-Seite erstellen, indem du die Authentifizierungsparameter mit directSignIn:'sso:{connectorId} verwendest. Diese Seite leitet große Unternehmenskunden basierend auf ihrer Organisationsdomain zum entsprechenden IdP weiter. Erfahre mehr über den direkten Anmeldeparameter.

Kann ich einen bestimmten Enterprise-Connector-Button auf der Anmeldeseite anzeigen?

Verschiedene Unternehmenskunden verwenden unterschiedliche Identitätsanbieter, um ihre Mitarbeiter zu verwalten, und fordern unterschiedliche Berechtigungen (OIDC) oder Attribute (SAML) an. Daher wird nicht empfohlen, einen Enterprise-Connector-Button, der für einen bestimmten Kunden gedacht ist, auf einer generischen Anmeldeseite anzuzeigen.

Wenn du jedoch ein B2E-Produkt entwickelst und einen Button für einen bestimmten Unternehmenskunden anzeigen möchtest, kannst du eine benutzerdefinierte Anmeldeseite erstellen und directSignIn:sso verwenden, um den Button entsprechend zu leiten. Erfahre mehr über den direkten Anmeldeparameter.