Saltar al contenido principal

SSO iniciado por SP

El SSO iniciado por SP, el método predeterminado y más seguro que el SSO iniciado por IdP, permite a los usuarios empresariales iniciar el proceso de inicio de sesión SSO desde la página de inicio de sesión de Logto. Logto admite tanto el SSO con solicitud de dominio de correo electrónico como el parámetro de inicio de sesión directo para SSO.

Configura el SSO iniciado por SP

  1. Habilita el SSO empresarial en tu sistema de identidad

    Para activar el SSO empresarial, navega a la Consola > Experiencia de inicio de sesión > Registro e inicio de sesión y activa la configuración "Habilitar SSO empresarial". Una vez habilitado, aparecerá un botón de "Inicio de sesión único" en tu página de inicio de sesión. Los usuarios empresariales con dominios de correo electrónico habilitados para SSO pueden acceder a tus servicios a través de sus proveedores de identidad empresariales.

  2. Crea conectores empresariales para diferentes clientes

    A continuación, necesitas integrar cada proveedor de identidad empresarial para tus clientes. Similar al inicio de sesión social, crea un nuevo conector empresarial en Logto y configura los ajustes necesarios. Navega a la Consola > SSO empresarial, haz clic en el botón "Agregar conector empresarial" y sigue las instrucciones para configurar el conector. Consulta la configuración del conector SSO empresarial.

  3. Configura dominios de correo electrónico para el conector empresarial

    Las identidades de SSO empresarial generalmente se reconocen por un dominio de correo electrónico de la empresa. En la pestaña de Experiencia de SSO de la página de detalles de cada conector empresarial, puedes especificar los dominios de correo electrónico asociados.

    Los usuarios con los dominios de correo electrónico especificados estarán restringidos a iniciar sesión exclusivamente a través de este conector SSO empresarial, mientras que otros métodos de inicio de sesión, como códigos de verificación por correo electrónico, autenticación por correo electrónico y contraseña, o inicio de sesión social, estarán deshabilitados para estos usuarios. El conector SSO será visible solo para usuarios con los dominios de correo electrónico especificados.

    nota

    Los dominios de correo electrónico públicos (por ejemplo, gmail.com, yahoo.com) no pueden vincularse a un conector empresarial.

Experiencia de SSO iniciado por SP

El SSO se activa cuando los usuarios intentan iniciar sesión utilizando un dominio de correo electrónico empresarial configurado para SSO. Este proceso omite los métodos de verificación estándar como las contraseñas.

  1. Botón de inicio de sesión único:

    Cuando el método de inicio de sesión SSO empresarial está habilitado, aparecerá un botón de "Inicio de sesión único" como una opción alternativa de inicio de sesión en la página de inicio de sesión. Al hacer clic en este enlace, se solicita a los usuarios que ingresen su dirección de correo electrónico empresarial para iniciar el proceso de SSO.

    • Conector único: Si solo un conector SSO empresarial está asociado con el dominio de correo electrónico del usuario, el usuario es redirigido directamente a la página de inicio de sesión del IdP.
    • Múltiples conectores: Si múltiples conectores SSO empresariales están asociados con el dominio de correo electrónico del usuario, el usuario primero seleccionará el IdP deseado de una lista antes de ser redirigido a la página de inicio de sesión del IdP.

    Botón de inicio de sesión único

  2. Inicio de sesión universal por correo electrónico:

    En el formulario de inicio de sesión de identificador universal (con el método de inicio de sesión por correo electrónico habilitado), la detección de dominio de correo electrónico SSO empresarial está habilitada por defecto. Cuando los usuarios ingresan su dirección de correo electrónico, Logto identifica automáticamente si un conector SSO empresarial está asociado con ese dominio. Si se encuentra una coincidencia, el formulario de inicio de sesión predeterminado se actualiza: el botón "Iniciar sesión" cambia a un botón de "Inicio de sesión único", restringiendo al usuario a iniciar sesión con el/los conector(es) SSO empresarial(es).

    Inicio de sesión universal por correo electrónico

Preguntas frecuentes

¿Puedo usar el Nombre/Dominio de la Organización en lugar del Dominio de Correo Electrónico para redirigir al IdP?

Actualmente, la experiencia de inicio de sesión preconstruida de Logto solo admite SSO con solicitud de dominio de correo electrónico, no SSO con solicitud de dominio de organización.

Puedes crear una página de enrutamiento personalizada en tu lado del cliente utilizando los parámetros de autenticación con directSignIn:'sso:{connectorId}. Esta página redirigirá a los grandes clientes empresariales al IdP apropiado según su dominio de organización. Aprende más sobre el parámetro de inicio de sesión directo.

¿Puedo mostrar un botón de Conector Empresarial específico en la página de inicio de sesión?

Diferentes clientes empresariales utilizan diferentes proveedores de identidad para gestionar a sus empleados y solicitan diferentes alcances (OIDC) o atributos (SAML). Por lo tanto, no se recomienda mostrar un botón de conector empresarial destinado a un cliente específico en una página de inicio de sesión genérica.

Sin embargo, si estás desarrollando un producto B2E y deseas mostrar un botón para un cliente empresarial específico, puedes crear una página de inicio de sesión personalizada y usar directSignIn:sso para enrutar el botón adecuadamente. Aprende más sobre el parámetro de inicio de sesión directo.