Aller au contenu principal

SSO initié par le SP

Le SSO initié par le SP, la méthode par défaut et plus sécurisée que le SSO initié par l'IdP, permet aux utilisateurs d'entreprise d'initier le processus de connexion SSO depuis la page de connexion de Logto. Logto prend en charge à la fois le SSO par domaine de messagerie et le paramètre de connexion directe pour le SSO.

Configurer le SSO initié par le SP

  1. Activer le SSO d’entreprise dans votre système d'identité

    Pour activer le SSO d’entreprise, accédez à la Console > Expérience de connexion > Inscription et connexion et activez le paramètre "Activer le SSO d’entreprise". Une fois activé, un bouton "Authentification unique" apparaîtra sur votre page de connexion. Les utilisateurs d'entreprise avec des domaines de messagerie activés pour le SSO peuvent accéder à vos services via leurs fournisseurs d’identité d’entreprise.

  2. Créer des connecteurs d’entreprise pour différents clients

    Ensuite, vous devez intégrer chaque fournisseur d’identité d’entreprise pour vos clients. Comme pour la connexion sociale, créez un nouveau connecteur d’entreprise dans Logto et configurez les paramètres requis. Accédez à la Console > SSO d’entreprise, cliquez sur le bouton "Ajouter un connecteur d’entreprise" et suivez les instructions pour configurer le connecteur. Consultez la configuration du connecteur SSO d’entreprise.

  3. Configurer les domaines de messagerie pour le connecteur d’entreprise

    Les identités SSO d’entreprise sont généralement reconnues par un domaine de messagerie d'entreprise. Dans l'onglet Expérience SSO de la page de détails de chaque connecteur d’entreprise, vous pouvez spécifier les domaines de messagerie associés.

    Les utilisateurs avec les domaines de messagerie spécifiés seront limités à se connecter exclusivement via ce connecteur SSO d’entreprise, tandis que d'autres méthodes de connexion, telles que les codes de vérification par e-mail ou l'authentification par e-mail et mot de passe, seront désactivées pour ces utilisateurs. Le connecteur SSO sera visible uniquement pour les utilisateurs avec les domaines de messagerie spécifiés.

    remarque

    Les domaines de messagerie publics (par exemple, gmail.com, yahoo.com) ne peuvent pas être liés à un connecteur d’entreprise.

Expérience SSO initiée par le SP

Le SSO est activé lorsque les utilisateurs tentent de se connecter en utilisant un domaine de messagerie d’entreprise configuré pour le SSO. Ce processus contourne les méthodes de vérification standard comme les mots de passe.

  1. Bouton d’authentification unique :

    Lorsque la méthode de connexion SSO d’entreprise est activée, un bouton "Authentification unique" apparaîtra comme option de connexion alternative sur la page de connexion. En cliquant sur ce lien, les utilisateurs sont invités à entrer leur adresse e-mail d’entreprise pour initier le processus SSO.

    • Connecteur unique : Si un seul connecteur SSO d’entreprise est associé au domaine de messagerie de l'utilisateur, l'utilisateur est redirigé directement vers la page de connexion de l'IdP.
    • Connecteurs multiples : Si plusieurs connecteurs SSO d’entreprise sont associés au domaine de messagerie de l'utilisateur, l'utilisateur devra d'abord sélectionner l'IdP souhaité dans une liste avant d'être redirigé vers la page de connexion de l'IdP.

    Bouton d’authentification unique

  2. Connexion universelle par e-mail :

    Dans le formulaire de connexion par identifiant universel (avec la méthode de connexion par e-mail activée), la détection de domaine de messagerie SSO d’entreprise est activée par défaut. Lorsque les utilisateurs saisissent leur adresse e-mail, Logto identifie automatiquement si un connecteur SSO d’entreprise est associé à ce domaine. Si une correspondance est trouvée, le formulaire de connexion par défaut se met à jour : le bouton "Se connecter" devient un bouton "Authentification unique", limitant l'utilisateur à se connecter avec le(s) connecteur(s) SSO d’entreprise.

    Connexion universelle par e-mail

FAQs

Puis-je utiliser le nom / domaine de l'organisation au lieu du domaine de messagerie pour rediriger vers l'IdP ?

Actuellement, l'expérience de connexion préconstruite de Logto ne prend en charge que le SSO par domaine de messagerie, et non le SSO par domaine d'organisation.

Vous pouvez créer une page de routage personnalisée côté client en utilisant les paramètres d'authentification avec directSignIn:'sso:{connectorId}. Cette page redirigera les grands clients d'entreprise vers l'IdP approprié en fonction de leur domaine d'organisation. En savoir plus sur le paramètre de connexion directe.

Puis-je afficher un bouton de connecteur d’entreprise spécifique sur la page de connexion ?

Différents clients d’entreprise utilisent différents fournisseurs d’identité pour gérer leurs employés et demandent différentes portées (OIDC) ou attributs (SAML). Par conséquent, il n'est pas recommandé d'afficher un bouton de connecteur d’entreprise destiné à un client spécifique sur une page de connexion générique.

Cependant, si vous développez un produit B2E et souhaitez afficher un bouton pour un client d’entreprise spécifique, vous pouvez créer une page de connexion personnalisée et utiliser directSignIn:sso pour router le bouton de manière appropriée. En savoir plus sur le paramètre de connexion directe.