メインコンテンツまでスキップ

エンタープライズコネクター

Logto の エンタープライズシングルサインオン (SSO) ソリューション は、エンタープライズクライアント向けのアクセス管理を簡素化します。エンタープライズ SSO コネクターは、さまざまなエンタープライズクライアント向けに SSO を有効化するために不可欠です。

これらのコネクターは、サービスとエンタープライズのアイデンティティプロバイダー (IdP) 間の認証 (Authentication) プロセスを円滑にします。Logto は SP-initiated SSOIdP-initiated SSO の両方をサポートしており、組織メンバーが既存の会社の認証情報を使ってサービスへアクセスできるようになり、セキュリティと生産性が向上します。

エンタープライズコネクター

Logto は、主要なエンタープライズアイデンティティプロバイダー向けの事前構築済みコネクターを提供し、迅速な統合を実現します。カスタム要件には、OpenID Connect (OIDC) および SAML プロトコルによる統合もサポートしています。

エンタープライズコネクターのカスタマイズ

標準コネクターが要件を満たさない場合は、お気軽にお問い合わせください。

エンタープライズコネクターの設定

  1. 次の場所へ移動します:コンソール > エンタープライズ SSO
  2. 「エンタープライズコネクターを追加」ボタンをクリックし、コネクタータイプを選択します。
  3. 一意の名前を入力します(例:Acme Company 用 Okta)。
  4. 「接続」タブで IdP との接続を設定します。各コネクタータイプのガイドを上記でご確認ください。
  5. 「体験」タブで SSO 体験や メールドメイン をカスタマイズします。
  6. SAML エンタープライズコネクターの場合、「IdP-initiated SSO」タブで IdP-initiated SSO を有効化することができます(任意)。詳細は ガイド をご参照ください。
  7. 変更を保存します。

以下の設定にご注意ください:

  • メールドメイン:ユーザーが入力したメールのドメインが、いずれかのエンタープライズ SSO コネクターの「エンタープライズメールドメイン」欄に含まれている場合、そのユーザーは該当する SSO コネクターのサインイン URL へリダイレクトされます。

    注記:

    SSO コネクターで関連するメールドメインを設定した後、そのドメインに属するメールでサインインするユーザーは SSO サインイン を強制される点にご注意ください。

    つまり、SSO コネクターで設定されていないドメインのメールのみが「メール+認証コード」または「メール+パスワード」でサインインできます(これらのサインイン方法がサインイン体験で有効化されている場合)。

  • ユーザープロファイルの同期:ユーザープロファイル情報(例:アバター、名前)をいつ同期するか選択します。デフォルトは「初回サインイン時のみ同期」です。「毎回サインイン時に常に同期」も選択できますが、カスタムユーザーデータが上書きされる可能性があります。

  • トークン保存の有効化:OIDC エンタープライズコネクターでは、ユーザーがエンタープライズ IdP でサインインした際に、アクセス トークンおよびリフレッシュ トークンを Logto の Secret Vault に安全に保存するトークン保存を有効化できます。これにより、ユーザーが再認証することなく、アプリケーションがユーザーに代わってサードパーティ API へアクセスできます。詳細は フェデレーテッドトークン保存 をご覧ください。

  • 表示情報:コネクターの表示名やロゴをカスタマイズできます。これは、同じメールドメインに複数のコネクターが紐付いている場合に非常に便利です。ユーザーは、IdP ログインページへリダイレクトされる前に、SSO コネクターボタンのリストから希望する IdP を選択します。

エンタープライズ SSO の有効化

  1. 次の場所へ移動します:コンソール > サインイン体験 > サインアップとサインイン
  2. 「エンタープライズ SSO」トグルを有効化します。
  3. 変更を保存します。

有効化すると、サインインページに「シングルサインオン」ボタンが表示されます。SSO 対応メールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダー (IdP) を使ってサービスへアクセスできます。SSO ユーザー体験の詳細は、ユーザーフロー:エンタープライズ SSO をご参照ください。

ジャストインタイムで組織へ

Logto では、ジャストインタイム (JIT) プロビジョニング は、ユーザーが初めてシステムへサインインする際に、組織メンバーシップやロールを自動で割り当てるプロセスです。

Logto は、組織内で SSO コネクターの JIT プロビジョニングを設定するためのエントリーポイントを提供しています。詳細は リファレンス をご覧ください。

よくある質問

エンタープライズ SSO コネクター変更後の既存ユーザーへの影響は?

  • SSO の追加:メールが一致する場合、SSO アイデンティティが既存アカウントにリンクされます。
  • SSO の削除:アカウントにリンクされた SSO アイデンティティが削除されますが、ユーザーアカウント自体は保持され、代替認証方法の設定を促されます。
IdP-initiated SSO & SP-initiated SSO SAML vs. OpenID Connect SAML vs. SSO