メインコンテンツまでスキップ

SP-initiated SSO

SP-initiated SSO は、IdP-initiated SSO よりもデフォルトで安全な方法であり、エンタープライズユーザーが Logto のサインインページから SSO ログインプロセスを開始できるようにします。Logto は、メールドメインプロンプト SSOSSO のための直接サインインパラメーター の両方をサポートしています。

SP-initiated SSO の設定

  1. エンタープライズ SSO を有効にする あなたのアイデンティティシステムで

    エンタープライズ SSO を有効にするには、コンソール > サインイン体験 > サインアップとサインイン に移動し、「エンタープライズ SSO を有効にする」設定をオンに切り替えます。有効にすると、サインインページに「シングルサインオン」ボタンが表示されます。SSO が有効なメールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダーを介してサービスにアクセスできます。

  2. 異なるクライアントのためにエンタープライズコネクターを作成する

    次に、クライアントのために各エンタープライズアイデンティティプロバイダーを統合する必要があります。ソーシャルサインインと同様に、Logto で新しいエンタープライズコネクターを作成し、必要な設定を構成します。コンソール > エンタープライズ SSO に移動し、「エンタープライズコネクターを追加」ボタンをクリックして、コネクターの設定手順に従います。エンタープライズ SSO コネクターの設定 を参照してください。

  3. エンタープライズコネクターのためにメールドメインを設定する

    エンタープライズ SSO アイデンティティは通常、会社のメールドメインによって認識されます。各エンタープライズコネクターの詳細ページの SSO 体験タブで、関連するメールドメインを指定できます。

    指定されたメールドメインを持つユーザーは、このエンタープライズ SSO コネクターを通じてのみサインインすることが制限され、メール認証コード、メールパスワード認証、またはソーシャルログインなどの他のサインイン方法はこれらのユーザーには無効になります。SSO コネクターは、指定されたメールドメインを持つユーザーにのみ表示されます。

    注記:

    公共のメールドメイン(例:gmail.com、yahoo.com)はエンタープライズコネクターにリンクすることはできません。

SP-initiated SSO 体験

SSO は、SSO 用に設定されたエンタープライズメールドメインを使用してサインインしようとするユーザーによってアクティブ化されます。このプロセスは、パスワードなどの標準的な検証方法をバイパスします。

  1. シングルサインオンボタン

    エンタープライズ SSO サインイン方法が有効になると、サインインページに代替サインインオプションとして「シングルサインオン」ボタンが表示されます。このリンクをクリックすると、ユーザーはエンタープライズメールアドレスを入力して SSO プロセスを開始するように促されます。

    • 単一のコネクター:ユーザーのメールドメインに関連付けられたエンタープライズ SSO コネクターが 1 つだけの場合、ユーザーは直接 IdP ログインページにリダイレクトされます。
    • 複数のコネクター:ユーザーのメールドメインに関連付けられたエンタープライズ SSO コネクターが複数ある場合、ユーザーはリストから希望する IdP を選択してから IdP ログインページにリダイレクトされます。

    シングルサインオンボタン

  2. ユニバーサルメールサインイン

    ユニバーサル識別子サインインフォーム(メールサインイン方法が有効な場合)では、エンタープライズ SSO メールドメイン検出がデフォルトで有効になっています。ユーザーがメールアドレスを入力すると、Logto はそのドメインに関連付けられたエンタープライズ SSO コネクターがあるかどうかを自動的に識別します。マッチが見つかると、デフォルトのサインインフォームが更新され、「サインイン」ボタンが「シングルサインオン」ボタンに変更され、ユーザーはエンタープライズ SSO コネクターでのみサインインすることが制限されます。

    ユニバーサルメールサインイン

よくある質問

メールドメインの代わりに組織名 / ドメインを使用して IdP にリダイレクトできますか?

現在、Logto の組み込みサインイン体験は メールドメインプロンプト SSO のみをサポートしており、組織ドメインプロンプト SSO はサポートしていません。

クライアント側で認証パラメーターを使用して directSignIn:'sso:{connectorId} を使用してカスタムルーティングページを作成できます。このページは、組織ドメインに基づいて大規模なエンタープライズクライアントを適切な IdP にリダイレクトします。直接サインインパラメーター について詳しく学んでください。

サインインページに特定のエンタープライズコネクターボタンを表示できますか?

異なるエンタープライズクライアントは、異なるアイデンティティプロバイダーを使用して従業員を管理し、異なるスコープ (OIDC) または属性 (SAML) を要求します。したがって、特定のクライアント用のエンタープライズコネクターボタンを一般的なサインインページに表示することは推奨されません。

ただし、B2E 製品を開発しており、特定のエンタープライズクライアント用のボタンを表示したい場合は、カスタムログインページを作成し、directSignIn:sso を使用してボタンを適切にルーティングできます。直接サインインパラメーター について詳しく学んでください。