본문으로 건너뛰기

SP-initiated SSO

SP-initiated SSO는 IdP-initiated SSO보다 기본적이고 더 안전한 방법으로, 엔터프라이즈 사용자가 Logto 로그인 페이지에서 SSO 로그인 프로세스를 시작할 수 있게 합니다. Logto는 이메일 도메인 프롬프트 SSOSSO를 위한 직접 로그인 매개변수를 모두 지원합니다.

SP-initiated SSO 설정하기

  1. 아이덴티티 시스템에서 엔터프라이즈 SSO 활성화

    엔터프라이즈 SSO를 활성화하려면, 콘솔 > 로그인 경험 > 가입 및 로그인으로 이동하여 "엔터프라이즈 SSO 활성화" 설정을 켭니다. 활성화되면, 로그인 페이지에 "싱글 사인온" 버튼이 나타납니다. SSO가 활성화된 이메일 도메인을 가진 엔터프라이즈 사용자는 엔터프라이즈 아이덴티티 제공자를 통해 서비스에 접근할 수 있습니다.

  2. 다양한 클라이언트를 위한 엔터프라이즈 커넥터 생성

    다음으로, 각 클라이언트의 엔터프라이즈 아이덴티티 제공자를 통합해야 합니다. 소셜 로그인과 유사하게, Logto에서 새로운 엔터프라이즈 커넥터를 생성하고 필요한 설정을 구성합니다. 콘솔 > 엔터프라이즈 SSO로 이동하여 "엔터프라이즈 커넥터 추가" 버튼을 클릭하고 지침에 따라 커넥터를 설정하세요. 엔터프라이즈 SSO 커넥터 설정을 참조하세요.

  3. 엔터프라이즈 커넥터에 대한 이메일 도메인 설정

    엔터프라이즈 SSO 아이덴티티는 일반적으로 회사 이메일 도메인으로 인식됩니다. 각 엔터프라이즈 커넥터의 세부 정보 페이지의 SSO 경험 탭에서 관련 이메일 도메인을 지정할 수 있습니다.

    지정된 이메일 도메인을 가진 사용자는 이 엔터프라이즈 SSO 커넥터를 통해서만 로그인할 수 있으며, 이메일 인증 코드, 이메일-비밀번호 인증 또는 소셜 로그인과 같은 다른 로그인 방법은 이 사용자에게 비활성화됩니다. SSO 커넥터는 지정된 이메일 도메인을 가진 사용자에게만 표시됩니다.

    노트:

    공용 이메일 도메인 (예: gmail.com, yahoo.com)은 엔터프라이즈 커넥터에 연결할 수 없습니다.

SP-initiated SSO 경험

SSO는 SSO에 대해 구성된 엔터프라이즈 이메일 도메인을 사용하여 사용자가 로그인하려고 할 때 활성화됩니다. 이 프로세스는 비밀번호와 같은 표준 인증 방법을 우회합니다.

  1. 싱글 사인온 버튼:

    엔터프라이즈 SSO 로그인 방법이 활성화되면, 로그인 페이지에 대체 로그인 옵션으로 "싱글 사인온" 버튼이 나타납니다. 이 링크를 클릭하면 사용자는 SSO 프로세스를 시작하기 위해 자신의 엔터프라이즈 이메일 주소를 입력하라는 메시지를 받습니다.

    • 단일 커넥터: 사용자의 이메일 도메인과 연결된 엔터프라이즈 SSO 커넥터가 하나뿐인 경우, 사용자는 IdP 로그인 페이지로 직접 리디렉션됩니다.
    • 다중 커넥터: 사용자의 이메일 도메인과 연결된 엔터프라이즈 SSO 커넥터가 여러 개인 경우, 사용자는 IdP 로그인 페이지로 리디렉션되기 전에 원하는 IdP를 목록에서 선택합니다.
    싱글 사인온 버튼

  2. 범용 이메일 로그인:

    범용 식별자 로그인 양식 (이메일 로그인 방법이 활성화된 경우)에서, 엔터프라이즈 SSO 이메일 도메인 감지가 기본적으로 활성화됩니다. 사용자가 이메일 주소를 입력하면, Logto는 해당 도메인과 연결된 엔터프라이즈 SSO 커넥터가 있는지 자동으로 식별합니다. 일치하는 항목이 발견되면, 기본 로그인 양식이 업데이트됩니다: "로그인" 버튼이 "싱글 사인온" 버튼으로 변경되어 사용자가 엔터프라이즈 SSO 커넥터를 통해서만 로그인할 수 있도록 제한됩니다.

    범용 이메일 로그인

자주 묻는 질문

이메일 도메인 대신 조직 이름 / 도메인을 사용하여 IdP로 리디렉션할 수 있습니까?

현재 Logto의 사전 구축된 로그인 경험은 이메일 도메인 프롬프트 SSO만 지원하며, 조직 도메인 프롬프트 SSO는 지원하지 않습니다.

클라이언트 측에서 directSignIn:'sso:{connectorId} 인증 매개변수를 사용하여 사용자 정의 라우팅 페이지를 만들 수 있습니다. 이 페이지는 조직 도메인에 따라 대규모 엔터프라이즈 클라이언트를 적절한 IdP로 리디렉션합니다. 직접 로그인 매개변수에 대해 자세히 알아보세요.

로그인 페이지에 특정 엔터프라이즈 커넥터 버튼을 표시할 수 있습니까?

다양한 엔터프라이즈 클라이언트는 직원 관리를 위해 서로 다른 아이덴티티 제공자를 사용하고, 서로 다른 스코프 (OIDC) 또는 속성 (SAML)을 요청합니다. 따라서 일반적인 로그인 페이지에 특정 클라이언트를 위한 엔터프라이즈 커넥터 버튼을 표시하는 것은 권장되지 않습니다.

그러나 B2E 제품을 개발 중이고 특정 엔터프라이즈 클라이언트를 위한 버튼을 표시하고 싶다면, 사용자 정의 로그인 페이지를 만들고 directSignIn:sso를 사용하여 버튼을 적절히 라우팅할 수 있습니다. 직접 로그인 매개변수에 대해 자세히 알아보세요.

SSO 전용 로그인 및 등록을 활성화하는 방법은 무엇입니까?

SSO 전용 로그인 및 등록을 활성화하려면 다음 단계를 따르세요:

  1. 콘솔 > 로그인 경험 > 가입 및 로그인

     에서 구성 - 가입: 해당 없음 - 로그인: 없음 - 소셜 로그인: 없음 - 엔터프라이즈 SSO: 활성화됨 - 사용자 등록: 비활성화됨
  2. 콘솔 > 사용자 관리에서 엔터프라이즈 이메일 주소를 입력하여 수동으로 사용자를 추가하거나 Management API를 통해 가져오기
  3. 사용자가 처음으로 SSO를 통해 로그인하면, Logto는 기존 이메일 주소를 SSO 계정에 자동 연결합니다.