Pular para o conteúdo principal

SSO iniciado pelo SP

O SSO iniciado pelo SP, o método padrão e mais seguro do que o SSO iniciado pelo IdP, permite que usuários corporativos iniciem o processo de login SSO a partir da página de login do Logto. O Logto suporta tanto o SSO com prompt de domínio de email quanto o parâmetro de login direto para SSO.

Configurar SSO iniciado pelo SP

  1. Ativar SSO corporativo no seu sistema de identidade

    Para ativar o SSO corporativo, navegue até o Console > Experiência de login > Cadastro e login e ative a configuração "Ativar SSO corporativo". Uma vez ativado, um botão "Single Sign-On" aparecerá na sua página de login. Usuários corporativos com domínios de email habilitados para SSO podem acessar seus serviços através de seus provedores de identidade corporativos.

  2. Criar conectores corporativos para diferentes clientes

    Em seguida, você precisa integrar cada provedor de identidade corporativo para seus clientes. Semelhante ao login social, crie um novo conector corporativo no Logto e configure as configurações necessárias. Navegue até o Console > SSO corporativo, clique no botão "Adicionar conector corporativo" e siga as instruções para configurar o conector. Consulte a configuração do conector SSO corporativo.

  3. Configurar domínios de email para o conector corporativo

    Identidades de SSO corporativo são tipicamente reconhecidas por um domínio de email da empresa. Na aba Experiência de SSO da página de detalhes de cada conector corporativo, você pode especificar os domínios de email associados.

    Usuários com os domínios de email especificados serão restritos a fazer login exclusivamente através deste conector SSO corporativo, enquanto outros métodos de login — como códigos de verificação por email, autenticação por email e senha, ou login social, serão desativados para esses usuários. O conector SSO será visível apenas para usuários com os domínios de email especificados.

    nota:

    Domínios de email públicos (por exemplo, gmail.com, yahoo.com) não podem ser vinculados a um conector corporativo.

Experiência de SSO iniciado pelo SP

O SSO é ativado quando os usuários tentam fazer login usando um domínio de email corporativo configurado para SSO. Este processo ignora métodos de verificação padrão, como senhas.

  1. Botão de autenticação única:

    Quando o método de login SSO corporativo está habilitado, um botão "Single Sign-On" aparecerá como uma opção alternativa de login na página de login. Ao clicar neste link, os usuários são solicitados a inserir seu endereço de email corporativo para iniciar o processo de SSO.

    • Conector único: Se apenas um conector SSO corporativo estiver associado ao domínio de email do usuário, o usuário é redirecionado diretamente para a página de login do IdP.
    • Múltiplos conectores: Se múltiplos conectores SSO corporativos estiverem associados ao domínio de email do usuário, o usuário primeiro selecionará o IdP desejado de uma lista antes de ser redirecionado para a página de login do IdP.

    Botão de autenticação única

  2. Login universal por email:

    No formulário de login de identificador universal (com método de login por email habilitado), a detecção de domínio de email SSO corporativo é habilitada por padrão. Quando os usuários inserem seu endereço de email, o Logto identifica automaticamente se um conector SSO corporativo está associado a esse domínio. Se uma correspondência for encontrada, o formulário de login padrão é atualizado: o botão "Entrar" muda para um botão "Single Sign-On", restringindo o usuário a fazer login com o(s) conector(es) SSO corporativo(s).

    Login universal por email

Perguntas frequentes

Posso usar Nome/Domínio da Organização em vez de Domínio de Email para redirecionar para o IdP?

Atualmente, a experiência de login predefinida do Logto suporta apenas SSO com prompt de domínio de email, não SSO com prompt de domínio da organização.

Você pode criar uma página de roteamento personalizada no seu lado cliente usando os parâmetros de autenticação com directSignIn:'sso:{connectorId}. Esta página redirecionará grandes clientes corporativos para o IdP apropriado com base no domínio da organização deles. Saiba mais sobre o parâmetro de login direto.

Posso exibir um botão de Conector Corporativo específico na página de login?

Diferentes clientes corporativos usam diferentes provedores de identidade para gerenciar seus funcionários e solicitam diferentes escopos (OIDC) ou atributos (SAML). Portanto, não é recomendado exibir um botão de conector corporativo destinado a um cliente específico em uma página de login genérica.

No entanto, se você estiver desenvolvendo um produto B2E e quiser mostrar um botão para um cliente corporativo específico, você pode criar uma página de login personalizada e usar directSignIn:sso para direcionar o botão adequadamente. Saiba mais sobre o parâmetro de login direto.