SSO initié par le SP
Le SSO initié par le SP, la méthode par défaut et plus sécurisée que le SSO initié par l'IdP, permet aux utilisateurs d'entreprise de lancer le processus de connexion SSO depuis la page de connexion Logto. Logto prend en charge à la fois le SSO par domaine de messagerie et le paramètre de connexion directe pour le SSO.
Configurer le SSO initié par le SP
-
Activer le SSO d’entreprise dans votre système d'identité
Pour activer le SSO d’entreprise, accédez à la Console > Expérience de connexion > Inscription et connexion et activez le paramètre "Activer le SSO d’entreprise". Une fois activé, un bouton "Authentification unique" apparaîtra sur votre page de connexion. Les utilisateurs d'entreprise avec des domaines de messagerie activés pour le SSO peuvent accéder à vos services via leurs fournisseurs d'identité d'entreprise.
-
Créer des connecteurs d’entreprise pour différents clients
Ensuite, vous devez intégrer chaque fournisseur d'identité d'entreprise pour vos clients. Comme pour la connexion sociale, créez un nouveau connecteur d’entreprise dans Logto et configurez les paramètres requis. Accédez à la Console > SSO d’entreprise, cliquez sur le bouton "Ajouter un connecteur d’entreprise" et suivez les instructions pour configurer le connecteur. Consultez la configuration du connecteur SSO d’entreprise.
-
Configurer les domaines de messagerie pour le connecteur d’entreprise
Les identités SSO d’entreprise sont généralement reconnues par un domaine de messagerie d'entreprise. Dans l'onglet Expérience SSO de la page de détails de chaque connecteur d’entreprise, vous pouvez spécifier les domaines de messagerie associés.
Les utilisateurs avec les domaines de messagerie spécifiés seront limités à se connecter exclusivement via ce connecteur SSO d’entreprise, tandis que d'autres méthodes de connexion, telles que les codes de vérification par e-mail, l'authentification par e-mail et mot de passe, ou la connexion sociale, seront désactivées pour ces utilisateurs. Le connecteur SSO sera visible uniquement pour les utilisateurs avec les domaines de messagerie spécifiés.
remarqueLes domaines de messagerie publics (par exemple, gmail.com, yahoo.com) ne peuvent pas être liés à un connecteur d’entreprise.
Expérience SSO initiée par le SP
Le SSO est activé lorsque les utilisateurs tentent de se connecter en utilisant un domaine de messagerie d'entreprise configuré pour le SSO. Ce processus contourne les méthodes de vérification standard comme les mots de passe.
-
Bouton d'authentification unique :
Lorsque la méthode de connexion SSO d’entreprise est activée, un bouton "Authentification unique" apparaîtra comme option de connexion alternative sur la page de connexion. En cliquant sur ce lien, les utilisateurs sont invités à entrer leur adresse e-mail d'entreprise pour lancer le processus SSO.
- Connecteur unique : Si un seul connecteur SSO d’entreprise est associé au domaine de messagerie de l'utilisateur, l'utilisateur est redirigé directement vers la page de connexion de l'IdP.
- Connecteurs multiples : Si plusieurs connecteurs SSO d’entreprise sont associés au domaine de messagerie de l'utilisateur, l'utilisateur devra d'abord sélectionner l'IdP souhaité dans une liste avant d'être redirigé vers la page de connexion de l'IdP.
-
Connexion universelle par e-mail :
Dans le formulaire de connexion par identifiant universel (avec la méthode de connexion par e-mail activée), la détection de domaine de messagerie SSO d’entreprise est activée par défaut. Lorsque les utilisateurs saisissent leur adresse e-mail, Logto identifie automatiquement si un connecteur SSO d’entreprise est associé à ce domaine. Si une correspondance est trouvée, le formulaire de connexion par défaut se met à jour : le bouton "Se connecter" devient un bouton "Authentification unique", limitant l'utilisateur à se connecter avec le(s) connecteur(s) SSO d’entreprise.
FAQ
Puis-je utiliser le nom / domaine de l'organisation au lieu du domaine de messagerie pour rediriger vers l'IdP ?
Actuellement, l'expérience de connexion préconstruite de Logto ne prend en charge que le SSO par domaine de messagerie, et non le SSO par domaine d'organisation.
Vous pouvez créer une page de routage personnalisée côté client en utilisant les paramètres d'authentification avec directSignIn:'sso:{connectorId}
. Cette page redirigera les grands clients d'entreprise vers l'IdP approprié en fonction de leur domaine d'organisation. En savoir plus sur le paramètre de connexion directe.
Puis-je afficher un bouton de connecteur d’entreprise spécifique sur la page de connexion ?
Différents clients d'entreprise utilisent différents fournisseurs d'identité pour gérer leurs employés et demandent différentes portées (OIDC) ou attributs (SAML). Par conséquent, il n'est pas recommandé d'afficher un bouton de connecteur d’entreprise destiné à un client spécifique sur une page de connexion générique.
Cependant, si vous développez un produit B2E et souhaitez afficher un bouton pour un client d'entreprise spécifique, vous pouvez créer une page de connexion personnalisée et utiliser directSignIn:sso
pour router le bouton de manière appropriée. En savoir plus sur le paramètre de connexion directe.