Pular para o conteúdo principal

SSO iniciado pelo SP

O SSO iniciado pelo SP, o método padrão e mais seguro do que o SSO iniciado pelo IdP, permite que os usuários empresariais iniciem o processo de login SSO a partir da página de login do Logto. O Logto suporta tanto o SSO com prompt de domínio de email quanto o parâmetro de login direto para SSO.

Configurar SSO iniciado pelo SP

  1. Habilitar SSO corporativo no seu sistema de identidade

    Para ativar o SSO corporativo, navegue até o Console > Experiência de login > Inscrição e login e ative a configuração "Habilitar SSO corporativo". Uma vez habilitado, um botão "Single Sign-On" aparecerá na sua página de login. Usuários empresariais com domínios de email habilitados para SSO podem acessar seus serviços através de seus provedores de identidade empresariais.

  2. Criar conectores empresariais para diferentes clientes

    Em seguida, você precisa integrar cada provedor de identidade empresarial para seus clientes. Semelhante ao login social, crie um novo conector empresarial no Logto e configure as configurações necessárias. Navegue até o Console > SSO corporativo, clique no botão "Adicionar conector empresarial" e siga as instruções para configurar o conector. Consulte a configuração do conector SSO corporativo.

  3. Configurar domínios de email para o conector empresarial

    As identidades de SSO corporativo são tipicamente reconhecidas por um domínio de email da empresa. Na aba de Experiência de SSO da página de detalhes de cada conector empresarial, você pode especificar os domínios de email associados.

    Usuários com os domínios de email especificados serão restritos a fazer login exclusivamente através deste conector de SSO corporativo, enquanto outros métodos de login — como códigos de verificação de email ou autenticação por email e senha, serão desativados para esses usuários. O conector de SSO será visível apenas para usuários com os domínios de email especificados.

    nota

    Domínios de email públicos (por exemplo, gmail.com, yahoo.com) não podem ser vinculados a um conector empresarial.

Experiência de SSO iniciado pelo SP

O SSO é ativado quando os usuários tentam fazer login usando um domínio de email empresarial configurado para SSO. Este processo ignora métodos de verificação padrão como senhas.

  1. Botão de autenticação única:

    Quando o método de login SSO corporativo é habilitado, um botão "Single Sign-On" aparecerá como uma opção alternativa de login na página de login. Ao clicar neste link, os usuários são solicitados a inserir seu endereço de email empresarial para iniciar o processo de SSO.

    • Conector único: Se apenas um conector de SSO corporativo estiver associado ao domínio de email do usuário, o usuário é redirecionado diretamente para a página de login do IdP.
    • Múltiplos conectores: Se múltiplos conectores de SSO corporativo estiverem associados ao domínio de email do usuário, o usuário primeiro selecionará o IdP desejado de uma lista antes de ser redirecionado para a página de login do IdP.

    Botão de autenticação única

  2. Login universal por email:

    No formulário de login de identificador universal (com método de login por email habilitado), a detecção de domínio de email de SSO corporativo é habilitada por padrão. Quando os usuários inserem seu endereço de email, o Logto identifica automaticamente se um conector de SSO corporativo está associado a esse domínio. Se uma correspondência for encontrada, o formulário de login padrão é atualizado: o botão "Entrar" muda para um botão "Single Sign-On", restringindo o usuário a fazer login com o(s) conector(es) de SSO corporativo.

    Login universal por email

Perguntas frequentes

Posso usar Nome/Domínio da Organização em vez de Domínio de Email para redirecionar para o IdP?

Atualmente, a experiência de login predefinida do Logto suporta apenas SSO com prompt de domínio de email, não SSO com prompt de domínio de organização.

Você pode criar uma página de roteamento personalizada no seu lado do cliente usando os parâmetros de autenticação com directSignIn:'sso:{connectorId}. Esta página redirecionará grandes clientes empresariais para o IdP apropriado com base no domínio de sua organização. Saiba mais sobre o parâmetro de login direto.

Posso exibir um botão de Conector Empresarial específico na página de login?

Diferentes clientes empresariais usam diferentes provedores de identidade para gerenciar seus funcionários e solicitam diferentes escopos (OIDC) ou atributos (SAML). Portanto, não é recomendado exibir um botão de conector empresarial destinado a um cliente específico em uma página de login genérica.

No entanto, se você estiver desenvolvendo um produto B2E e quiser mostrar um botão para um cliente empresarial específico, você pode criar uma página de login personalizada e usar directSignIn:sso para direcionar o botão adequadamente. Saiba mais sobre o parâmetro de login direto.