본문으로 건너뛰기

SP-initiated SSO

SP-initiated SSO는 IdP-initiated SSO보다 기본적이며 더 안전한 방식으로, 엔터프라이즈 사용자가 Logto 로그인 페이지에서 SSO 로그인 프로세스를 시작할 수 있도록 합니다. Logto는 이메일 도메인 프롬프트 SSOSSO를 위한 직접 로그인 파라미터를 모두 지원합니다.

SP-initiated SSO 설정하기

  1. 엔터프라이즈 SSO 활성화하기

    엔터프라이즈 SSO를 활성화하려면 콘솔 > 로그인 & 계정 > 회원가입 및 로그인으로 이동하여 "엔터프라이즈 SSO 활성화" 설정을 켜세요. 활성화되면 로그인 페이지에 "싱글 사인온 (SSO)" 버튼이 표시됩니다. SSO가 활성화된 이메일 도메인을 가진 엔터프라이즈 사용자는 자신의 엔터프라이즈 아이덴티티 제공자를 통해 서비스에 접근할 수 있습니다.

  2. 클라이언트별 엔터프라이즈 커넥터 생성하기

    다음으로, 각 클라이언트의 엔터프라이즈 아이덴티티 제공자를 통합해야 합니다. 소셜 로그인과 유사하게, Logto에서 새로운 엔터프라이즈 커넥터를 생성하고 필요한 설정을 구성하세요. 콘솔 > 엔터프라이즈 SSO로 이동하여 "엔터프라이즈 커넥터 추가" 버튼을 클릭하고 안내에 따라 커넥터를 설정하세요. 자세한 내용은 엔터프라이즈 SSO 커넥터 설정을 참고하세요.

  3. 엔터프라이즈 커넥터에 이메일 도메인 설정하기

    엔터프라이즈 SSO 아이덴티티는 일반적으로 회사 이메일 도메인으로 인식됩니다. 각 엔터프라이즈 커넥터의 상세 페이지 내 SSO 경험 탭에서 연관된 이메일 도메인을 지정할 수 있습니다.

    지정된 이메일 도메인을 가진 사용자는 해당 엔터프라이즈 SSO 커넥터를 통해서만 로그인할 수 있으며, 이메일 인증 코드, 이메일-비밀번호 인증, 소셜 로그인 등 다른 로그인 방식은 비활성화됩니다. SSO 커넥터는 지정된 이메일 도메인을 가진 사용자에게만 표시됩니다.

    노트:

    공용 이메일 도메인(예: gmail.com, yahoo.com)은 엔터프라이즈 커넥터에 연결할 수 없습니다.

SP-initiated SSO 경험

사용자가 SSO로 설정된 엔터프라이즈 이메일 도메인으로 로그인 시도를 할 때 SSO가 활성화됩니다. 이 과정에서는 비밀번호와 같은 표준 인증 방식이 생략됩니다.

  1. 싱글 사인온 (SSO) 버튼:

    엔터프라이즈 SSO 로그인 방식이 활성화되면, 로그인 페이지에 "싱글 사인온 (SSO)" 버튼이 대체 로그인 옵션으로 표시됩니다. 이 링크를 클릭하면 사용자는 SSO 프로세스를 시작하기 위해 엔터프라이즈 이메일 주소를 입력하도록 안내받습니다.

    • 단일 커넥터: 사용자의 이메일 도메인에 하나의 엔터프라이즈 SSO 커넥터만 연결되어 있다면, 사용자는 즉시 IdP 로그인 페이지로 리디렉션됩니다.
    • 다중 커넥터: 사용자의 이메일 도메인에 여러 엔터프라이즈 SSO 커넥터가 연결되어 있다면, 사용자는 먼저 원하는 IdP를 목록에서 선택한 후 IdP 로그인 페이지로 리디렉션됩니다.
    싱글 사인온 버튼

  2. 유니버설 이메일 로그인:

    유니버설 식별자 로그인 폼(이메일 로그인 방식이 활성화된 경우)에서는 엔터프라이즈 SSO 이메일 도메인 감지가 기본적으로 활성화되어 있습니다. 사용자가 이메일 주소를 입력하면, Logto는 해당 도메인에 엔터프라이즈 SSO 커넥터가 연결되어 있는지 자동으로 식별합니다. 일치하는 커넥터가 있으면 기본 로그인 폼이 업데이트되어 "로그인" 버튼이 "싱글 사인온 (SSO)" 버튼으로 변경되고, 사용자는 엔터프라이즈 SSO 커넥터로만 로그인할 수 있습니다.

    유니버설 이메일 로그인

자주 묻는 질문

이메일 도메인 대신 조직 이름/도메인으로 IdP로 리디렉션할 수 있나요?

현재 Logto의 기본 로그인 경험은 이메일 도메인 프롬프트 SSO만 지원하며, 조직 도메인 프롬프트 SSO는 지원하지 않습니다.

클라이언트 측에서 인증 파라미터 directSignIn:'sso:{connectorId}를 사용하여 커스텀 라우팅 페이지를 만들 수 있습니다. 이 페이지를 통해 대규모 엔터프라이즈 클라이언트를 조직 도메인에 따라 적절한 IdP로 리디렉션할 수 있습니다. 자세한 내용은 직접 로그인 파라미터를 참고하세요.

로그인 페이지에 특정 엔터프라이즈 커넥터 버튼을 표시할 수 있나요?

각 엔터프라이즈 클라이언트는 서로 다른 아이덴티티 제공자를 사용하여 직원을 관리하며, 서로 다른 스코프(OIDC) 또는 속성(SAML)을 요청합니다. 따라서 특정 클라이언트를 위한 엔터프라이즈 커넥터 버튼을 일반 로그인 페이지에 표시하는 것은 권장되지 않습니다.

하지만 B2E 제품을 개발 중이고 특정 엔터프라이즈 클라이언트를 위한 버튼을 표시하고 싶다면, 커스텀 로그인 페이지를 만들고 directSignIn:sso를 사용하여 버튼을 적절히 라우팅할 수 있습니다. 자세한 내용은 직접 로그인 파라미터를 참고하세요.

SSO 전용 로그인 및 회원가입을 활성화하려면 어떻게 해야 하나요?

SSO 전용 로그인 및 회원가입을 활성화하려면 다음 단계를 따르세요:

  1. 콘솔 > 로그인 & 계정 > 회원가입 및 로그인

     에서 설정 - 회원가입: 해당 없음 - 로그인: 없음 - 소셜 로그인: 없음 - 엔터프라이즈 SSO: 활성화 - 사용자 등록: 비활성화
  2. 콘솔 > 사용자 관리에서 엔터프라이즈 이메일 주소를 직접 입력하여 사용자를 수동으로 추가하거나, Management API를 통해 가져오기(import)할 수 있습니다.
  3. 사용자가 SSO를 통해 처음 로그인할 때, Logto는 자동 연결 기능을 통해 기존 이메일 주소를 SSO 계정에 연결합니다.