メインコンテンツまでスキップ

SP-initiated SSO

SP-initiated SSO は、IdP-initiated SSO よりもデフォルトで安全な方法であり、エンタープライズユーザーが Logto のサインインページから SSO ログインプロセスを開始することを可能にします。Logto は、メールドメインプロンプト SSOSSO のための直接サインインパラメータ の両方をサポートしています。

SP-initiated SSO を設定する

  1. エンタープライズシングルサインオン (SSO) を有効にする あなたのアイデンティティシステムで

    エンタープライズシングルサインオン (SSO) を有効にするには、コンソール > サインイン体験 > サインアップとサインイン に移動し、「エンタープライズシングルサインオン (SSO) を有効にする」設定をオンに切り替えます。有効にすると、サインインページに「シングルサインオン」ボタンが表示されます。SSO が有効なメールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダーを介してサービスにアクセスできます。

  2. 異なるクライアントのためにエンタープライズコネクターを作成する

    次に、クライアントのために各エンタープライズアイデンティティプロバイダーを統合する必要があります。ソーシャルサインインと同様に、Logto で新しいエンタープライズコネクターを作成し、必要な設定を構成します。コンソール > エンタープライズシングルサインオン (SSO) に移動し、「エンタープライズコネクターを追加」ボタンをクリックし、コネクターを設定するための指示に従います。エンタープライズシングルサインオン (SSO) コネクターの設定 を参照してください。

  3. エンタープライズコネクターのためにメールドメインを設定する

    エンタープライズシングルサインオン (SSO) のアイデンティティは通常、会社のメールドメインによって認識されます。各エンタープライズコネクターの詳細ページの SSO 体験タブで、関連するメールドメインを指定できます。

    指定されたメールドメインを持つユーザーは、このエンタープライズシングルサインオン (SSO) コネクターを通じてのみサインインすることが制限され、メール認証コード、メールパスワード認証、ソーシャルログインなどの他のサインイン方法はこれらのユーザーに対して無効になります。SSO コネクターは、指定されたメールドメインを持つユーザーにのみ表示されます。

    注記:

    公共のメールドメイン(例:gmail.com、yahoo.com)はエンタープライズコネクターにリンクすることはできません。

SP-initiated SSO 体験

SSO は、SSO 用に設定されたエンタープライズメールドメインを使用してサインインしようとするユーザーによってアクティブ化されます。このプロセスは、パスワードなどの標準的な検証方法をバイパスします。

  1. シングルサインオンボタン

    エンタープライズシングルサインオン (SSO) サインイン方法が有効になると、サインインページに代替のサインインオプションとして「シングルサインオン」ボタンが表示されます。このリンクをクリックすると、ユーザーはエンタープライズメールアドレスを入力して SSO プロセスを開始するように促されます。

    • 単一のコネクター:ユーザーのメールドメインに関連付けられたエンタープライズシングルサインオン (SSO) コネクターが 1 つだけの場合、ユーザーは直接 IdP ログインページにリダイレクトされます。
    • 複数のコネクター:ユーザーのメールドメインに関連付けられたエンタープライズシングルサインオン (SSO) コネクターが複数ある場合、ユーザーはリストから希望する IdP を選択した後、IdP ログインページにリダイレクトされます。
    シングルサインオンボタン

  2. ユニバーサルメールサインイン

    ユニバーサル識別子サインインフォーム(メールサインイン方法が有効な場合)では、エンタープライズシングルサインオン (SSO) メールドメイン検出がデフォルトで有効になっています。ユーザーがメールアドレスを入力すると、Logto はそのドメインに関連付けられたエンタープライズシングルサインオン (SSO) コネクターがあるかどうかを自動的に識別します。一致が見つかると、デフォルトのサインインフォームが更新され、「サインイン」ボタンが「シングルサインオン」ボタンに変更され、ユーザーはエンタープライズシングルサインオン (SSO) コネクターでのみサインインすることが制限されます。

    ユニバーサルメールサインイン

よくある質問

メールドメインの代わりに組織名 / ドメインを使用して IdP にリダイレクトできますか?

現在、Logto の組み込みサインイン体験は メールドメインプロンプト SSO のみをサポートしており、組織ドメインプロンプト SSO はサポートしていません。

クライアント側で認証パラメータを使用して directSignIn:'sso:{connectorId} を使用してカスタムルーティングページを作成できます。このページは、組織ドメインに基づいて大規模なエンタープライズクライアントを適切な IdP にリダイレクトします。直接サインインパラメータ について詳しく学びましょう。

サインインページに特定のエンタープライズコネクターボタンを表示できますか?

異なるエンタープライズクライアントは、従業員を管理するために異なるアイデンティティプロバイダーを使用し、異なるスコープ (OIDC) または属性 (SAML) を要求します。したがって、特定のクライアントを対象としたエンタープライズコネクターボタンを一般的なサインインページに表示することは推奨されません。

ただし、B2E 製品を開発しており、特定のエンタープライズクライアントのためのボタンを表示したい場合は、カスタムログインページを作成し、directSignIn:sso を使用してボタンを適切にルーティングできます。直接サインインパラメータ について詳しく学びましょう。

SSO のみのサインインと登録を有効にする方法は?

SSO のみのサインインと登録を有効にするには、次の手順に従います:

  1. コンソール > サインイン体験 > サインインとサインイン

     で設定する - サインアップ:適用不可 - サインイン:なし - ソーシャルサインイン:なし - エンタープライズシングルサインオン (SSO):有効 - ユーザー登録:無効
  2. コンソール > ユーザー管理 でエンタープライズメールアドレスを入力してユーザーを手動で追加するか、Management API を介してインポートします。
  3. ユーザーが初めて SSO を介してサインインすると、Logto は既存のメールアドレスを SSO アカウントに 自動リンク します。