엔터프라이즈 싱글 사인온 (SSO) 아이덴티티
엔터프라이즈 SSO 계정 연동
신규 사용자가 엔터프라이즈 SSO로 로그인하는 경우
신규 사용자가 새로운 엔터프라이즈 SSO 아이덴티티로 가입하면, Logto는 해당 엔터프라이즈 아이덴티티와 연결된 새로운 사용자 계정을 자동으로 생성합니다. primary email, name, avatar는 IdP에서 제공한 데이터로 자동 채워집니다. 그 외 추가 사용자 프로필 데이터는 사용자의 SSO 아이덴티티 프로필에 저장됩니다.
SAML 속성 매핑이 올바르게 구성되지 않았거나 아이덴티티 제공자에서 사용자 이메일을 제공하지 않는 경우, 프로필 연동 상황이 다를 수 있습니다.
기존 사용자가 엔터프라이즈 SSO로 로그인하는 경우
엔터프라이즈 SSO 아이덴티티에 연결된 업무용 이메일 주소가 Logto의 기존 사용자 계정과 일치하면, Logto는 엔터프라이즈 SSO 아이덴티티를 기존 사용자 계정에 자동으로 연동합니다.
이메일 도메인이 엔터프라이즈 SSO 커넥터와 연결되면, 해당 이메일 도메인을 가진 모든 기존 사용자는 엔터프라이즈 SSO 커넥터로만 로그인할 수 있습니다. 이전 로그인 방식(예: 이메일/비밀번호, 이메일 인증 코드, 소셜 로그인 등)은 차단됩니다.
엔터프라이즈 SSO 사용자는 패스키 로그인을 연동하거나 사용할 수 없습니다. 이들의 인증은 엔터프라이즈 IdP 플로우 내에서만 이루어져야 합니다.
엔터프라이즈 SSO와 다단계 인증 (MFA)
엔터프라이즈 SSO를 사용할 때, MFA 요구 사항은 일반적으로 IdP에서 관리됩니다. Logto에서는 IdP에서 인증된 모든 아이덴티티를 신뢰된 것으로 간주하므로, 엔터프라이즈 SSO를 통해 로그인하는 사용자는 MFA 검증이 생략되어 사용자 경험이 향상됩니다. IdP 측에서 MFA 보호가 활성화되어 있는지 반드시 확인해야 합니다.
엔터프라이즈 커넥터 삭제하기
Logto에서 엔터프라이즈 커넥터를 삭제하면:
- 사용자 계정은 유지됨: 사용자 계정은 삭제되지 않으며, 엔터프라이즈 아이덴티티 제공자와의 연동만 해제됩니다.
- 다음 로그인 시: 해당 사용자가 다음에 로그인할 때, Logto에 설정된 표준 로그인 방식(예: 이메일 및 비밀번호) 등 대체 방법을 사용하라는 안내를 받게 됩니다. 이전에 비밀번호를 설정하지 않았다면, 이 시점에서 비밀번호를 생성하도록 안내됩니다.
- 사용자 SSO 아이덴티티 프로필 삭제: 사용자의 SSO 아이덴티티 및 연관된 프로필 데이터는 Logto에서 삭제됩니다.