エンタープライズシングルサインオン (SSO) アイデンティティ
エンタープライズ SSO アカウントのリンク
新しいユーザーがエンタープライズ SSO でサインインする場合
新しいユーザーが新しいエンタープライズ SSO アイデンティティでサインアップすると、Logto はエンタープライズアイデンティティに関連付けられた新しいユーザーアカウントを自動的に作成します。primary email、name、および avatar は、IdP によって提供されたデータで自動的に入力されます。他の追加のユーザープロファイルデータは、ユーザーの SSO アイデンティティプロファイルの下に保存されます。
SAML 属性マッピング が正しく構成されていない場合や、アイデンティティプロバイダーによってユーザーのメールが提供されていない場合、プロファイルのリンク状況が異なる場合があります。
既存のユーザーがエンタープライズ SSO でサインインする場合
エンタープライズ SSO アイデンティティに関連付けられた作業用メールアドレスが Logto の既存のユーザーアカウントと一致する場合、Logto はエンタープライズ SSO アイデンティティを既存のユーザーアカウントに自動的にリンクします。
メールドメインがエンタープライズ SSO コネクターに関連付けられると、指定されたメールドメインを持つすべての既存のユーザーは、エンタープライズ SSO コネクターでサインインすることが制限されます。以前のサインイン方法はブロックされます。例:メール / パスワード、メール認証コード、ソーシャルサインイン方法。
エンタープライズ SSO を使用した多要素認証 (MFA)
エンタープライズ SSO を使用する場合、MFA 要件は通常 IdP によって管理されます。Logto では、IdP から認証されたすべてのアイデンティティは信頼されていると見なされるため、エンタープライズ SSO を介してサインインするユーザーのために MFA 検証 がバイパスされ、ユーザー体験が向上します。IdP 側で MFA 保護が有効になっていることを確認することが重要です。
エンタープライズコネクターの削除
Logto からエンタープライズコネクターを削除すると:
- ユーザーアカウントは残る:ユーザーアカウントは削除されず、エンタープライズアイデンティティプロバイダーへのリンクのみが削除されます。
- 次回ユーザーがサインインする際:これらのユーザーが次回サインインしようとすると、Logto で設定された標準のサインイン方法(例:メールとパスワード)などの代替方法を使用するように求められます。以前にパスワードを設定していない場合、この時点でパスワードを作成するように案内されます。
- ユーザー SSO アイデンティティプロファイルの削除:ユーザーの SSO アイデンティティおよび関連するプロファイルデータは Logto から削除されます。