エンタープライズコネクター
Logto の シングルサインオン (SSO) ソリューション は、エンタープライズクライアント向けのアクセス管理を簡素化します。エンタープライズ SSO コネクターは、さまざまなエンタープライズクライアント向けに SSO を有効化するために不可欠です。
これらのコネクターは、サービスとエンタープライズのアイデンティティプロバイダー (IdP) 間の認証 (Authentication) プロセスを円滑にします。Logto は SP-initiated SSO と IdP-initiated SSO の両方をサポートしており、組織メンバーが既存の会社認証情報を使ってサービスへアクセスできるようになり、セキュリティと生産性が向上します。
エンタープライズコネクター
Logto は、主要なエンタープライズアイデンティティプロバイダー向けのプリビルドコネクターを提供しており、迅速な統合が可能です。カスタム要件には、OpenID Connect (OIDC) および SAML プロトコルによる統合もサポートしています。
主要なエンタープライズコネクター
エンタープライズコネクターのカスタマイズ
標準コネクターが要件を満たさない場合は、お気軽にお問い合わせください。
エンタープライズコネクターの設定
- 次の場所へ移動します:コンソール > エンタープライズ SSO。
- 「エンタープライズコネクターを追加」ボタンをクリックし、コネクタータイプを選択します。
- 一意の名前を入力します(例:Acme 社向け Okta)。
- 「接続」タブで IdP との接続を設定します。各コネクタータイプのガイドを上記でご確認ください。
- 「体験」タブで SSO 体験および メールドメイン をカスタマイズします。
- SAML エンタープライズコネクターの場合、「IdP-initiated SSO」タブで IdP-initiated SSO を有効化することは任意です。ガイドを参照 してください。
- 変更を保存します。
以下の設定にご注意ください:
-
メールドメイン:ユーザーが入力したメールのドメインが、いずれかのエンタープライズ SSO コネクターの「エンタープライズメールドメイン」欄に含まれている場合、そのユーザーは該当 SSO コネクターのサインイン URL へリダイレクトされます。
注記:SSO コネクターで関連するメールドメインを設定した後、そのドメインのメールでサインインするユーザーは SSO サインイン を強制されることにご注意ください。
つまり、SSO コネクターで設定されていないドメインのメールのみが「メール+認証コード」または「メール+パスワード」でサインインできます(これら 2 つのサインイン方法がサインイン体験で有効化されている場合)。
-
ユーザープロファイルの同期:ユーザープロファイル情報(例:アバター、名前)をいつ同期するか選択します。デフォルトは「初回サインイン時のみ同期」です。「毎回サインイン時に常に同期」も選択できますが、カスタムユーザーデータが上書きされる可能性があります。
-
表示情報:コネクターの表示名やロゴをカスタマイズできます。同じメールドメインに複数のコネクターが紐付いている場合に便利です。ユーザーは SSO コネクターボタンのリストから希望する IdP を選択し、その後 IdP のログインページへリダイレクトされます。
エンタープライズ SSO の有効化
- 次の場所へ移動します:コンソール > サインイン体験 > サインアップとサインイン。
- 「エンタープライズ SSO」トグルを有効化します。
- 変更を保存します。
有効化すると、サインインページに「シングルサインオン」ボタンが表示されます。SSO 有効なメールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダー (IdP) を使ってサービスへアクセスできます。SSO ユーザー体験の詳細は、ユーザーフロー:エンタープライズ SSO をご参照ください。
ジャストインタイムで組織へ
Logto では、ジャストインタイム (JIT) プロビジョニング は、ユーザーが初めてシステムにサインインする際に、組織メンバーシップやロールを自動割り当てするプロセスです。
Logto は、組織内で SSO コネクターの JIT プロビジョニングを設定するためのエントリーポイントを提供しています。リファレンス をご覧ください。
よくある質問
エンタープライズ SSO コネクター変更後の既存ユーザーへの影響は?
- SSO の追加:メールが一致する場合、SSO アイデンティティが既存アカウントにリンクされます。
- SSO の削除:アカウントにリンクされた SSO アイデンティティが削除されますが、ユーザーアカウント自体は保持され、代替認証方法の設定を促されます。