ข้ามไปยังเนื้อหาหลัก

SP-initiated SSO

SP-initiated SSO ซึ่งเป็นวิธีเริ่มต้นและปลอดภัยกว่าการ IdP-initiated SSO อนุญาตให้ผู้ใช้ระดับองค์กรเริ่มกระบวนการเข้าสู่ระบบ SSO จากหน้าลงชื่อเข้าใช้ของ Logto โดย Logto รองรับทั้ง SSO แบบแจ้งโดเมนอีเมล และ การเข้าสู่ระบบโดยตรงด้วยพารามิเตอร์สำหรับ SSO

ตั้งค่า SP-initiated SSO

  1. เปิดใช้งาน SSO สำหรับองค์กร (Enterprise SSO) ในระบบข้อมูลระบุตัวตนของคุณ

    เพื่อเปิดใช้งาน SSO สำหรับองค์กร ให้ไปที่ Console > ประสบการณ์การลงชื่อเข้าใช้ > ลงทะเบียนและลงชื่อเข้าใช้ และเปิดสวิตช์ "Enable enterprise SSO" เมื่อเปิดใช้งานแล้ว จะมีปุ่ม "Single Sign-On" ปรากฏบนหน้าลงชื่อเข้าใช้ของคุณ ผู้ใช้ระดับองค์กรที่มีโดเมนอีเมลที่เปิดใช้งาน SSO จะสามารถเข้าถึงบริการของคุณผ่านผู้ให้บริการข้อมูลระบุตัวตนขององค์กรได้

  2. สร้างตัวเชื่อมต่อองค์กร (Enterprise connectors) สำหรับลูกค้าแต่ละราย

    ถัดไป คุณต้องผสานรวมผู้ให้บริการข้อมูลระบุตัวตนขององค์กรแต่ละรายสำหรับลูกค้าของคุณ เช่นเดียวกับการเข้าสู่ระบบโซเชียล ให้สร้างตัวเชื่อมต่อองค์กรใหม่ใน Logto และกำหนดค่าที่จำเป็น ไปที่ Console > Enterprise SSO คลิกปุ่ม "Add enterprise connector" และทำตามคำแนะนำเพื่อกำหนดค่าตัวเชื่อมต่อ ดูรายละเอียดที่ การตั้งค่าตัวเชื่อมต่อ SSO สำหรับองค์กร

  3. ตั้งค่าโดเมนอีเมล สำหรับตัวเชื่อมต่อองค์กร

    ตัวตน SSO สำหรับองค์กรโดยทั่วไปจะถูกระบุด้วยโดเมนอีเมลของบริษัท ในแท็บ SSO Experience ของหน้ารายละเอียดตัวเชื่อมต่อองค์กรแต่ละตัว คุณสามารถระบุโดเมนอีเมลที่เกี่ยวข้องได้

    ผู้ใช้ที่มีโดเมนอีเมลที่ระบุจะถูกจำกัดให้ลงชื่อเข้าใช้ผ่านตัวเชื่อมต่อ SSO สำหรับองค์กรนี้เท่านั้น ในขณะที่วิธีการลงชื่อเข้าใช้อื่น ๆ เช่น รหัสยืนยันอีเมล, การยืนยันตัวตนด้วยอีเมล-รหัสผ่าน หรือการเข้าสู่ระบบโซเชียล จะถูกปิดใช้งานสำหรับผู้ใช้เหล่านี้ ตัวเชื่อมต่อ SSO จะปรากฏเฉพาะกับผู้ใช้ที่มีโดเมนอีเมลที่ระบุเท่านั้น

    บันทึก:

    ไม่สามารถเชื่อมโยงโดเมนอีเมลสาธารณะ (เช่น gmail.com, yahoo.com) กับตัวเชื่อมต่อองค์กรได้

ประสบการณ์ SP-initiated SSO

SSO จะถูกเปิดใช้งานเมื่อผู้ใช้พยายามลงชื่อเข้าใช้ด้วยโดเมนอีเมลองค์กรที่กำหนดไว้สำหรับ SSO ซึ่งกระบวนการนี้จะข้ามวิธีการตรวจสอบมาตรฐาน เช่น รหัสผ่าน

  1. ปุ่ม Single Sign-On:

    เมื่อเปิดใช้งานวิธีการลงชื่อเข้าใช้แบบ SSO สำหรับองค์กร จะมีปุ่ม "Single Sign-On" ปรากฏเป็นตัวเลือกการลงชื่อเข้าใช้เพิ่มเติมบนหน้าลงชื่อเข้าใช้ โดยเมื่อคลิกปุ่มนี้ ผู้ใช้จะถูกขอให้กรอกอีเมลองค์กรเพื่อเริ่มกระบวนการ SSO

    • ตัวเชื่อมต่อเดียว: หากมีตัวเชื่อมต่อ SSO สำหรับองค์กรเพียงตัวเดียวที่เชื่อมโยงกับโดเมนอีเมลของผู้ใช้ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP โดยตรง
    • หลายตัวเชื่อมต่อ: หากมีตัวเชื่อมต่อ SSO สำหรับองค์กรหลายตัวที่เชื่อมโยงกับโดเมนอีเมลของผู้ใช้ ผู้ใช้จะต้องเลือก IdP ที่ต้องการจากรายการก่อนที่จะถูกเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ของ IdP
    Single sign-on button

  2. การลงชื่อเข้าใช้ด้วยอีเมลแบบสากล:

    ในฟอร์มลงชื่อเข้าใช้ด้วยตัวระบุสากล (เมื่อเปิดใช้งานวิธีการลงชื่อเข้าใช้ด้วยอีเมล) ระบบจะเปิดใช้งานการตรวจจับโดเมนอีเมล SSO สำหรับองค์กรโดยอัตโนมัติ เมื่อผู้ใช้กรอกอีเมล Logto จะตรวจสอบโดยอัตโนมัติว่ามีตัวเชื่อมต่อ SSO สำหรับองค์กรที่เชื่อมโยงกับโดเมนนั้นหรือไม่ หากพบว่าตรงกัน ฟอร์มลงชื่อเข้าใช้จะเปลี่ยนแปลงโดยปุ่ม "Sign in" จะเปลี่ยนเป็น "Single Sign-On" และจำกัดให้ผู้ใช้ลงชื่อเข้าใช้ผ่านตัวเชื่อมต่อ SSO สำหรับองค์กรเท่านั้น

    Universal email sign-in

คำถามที่พบบ่อย

ฉันสามารถใช้ชื่อ/โดเมนองค์กรแทนโดเมนอีเมลเพื่อเปลี่ยนเส้นทางไปยัง IdP ได้หรือไม่?

ปัจจุบัน ประสบการณ์การลงชื่อเข้าใช้ที่สร้างไว้ล่วงหน้าของ Logto รองรับเฉพาะ SSO แบบแจ้งโดเมนอีเมล เท่านั้น ยังไม่รองรับ SSO แบบแจ้งโดเมนองค์กร

คุณสามารถสร้างหน้ากำหนดเส้นทางแบบกำหนดเองที่ฝั่งไคลเอนต์ของคุณโดยใช้พารามิเตอร์การยืนยันตัวตนกับ directSignIn:'sso:{connectorId} หน้านี้จะเปลี่ยนเส้นทางลูกค้าองค์กรขนาดใหญ่ไปยัง IdP ที่เหมาะสมตามโดเมนองค์กรของพวกเขา ดูข้อมูลเพิ่มเติมเกี่ยวกับ พารามิเตอร์การเข้าสู่ระบบโดยตรง

ฉันสามารถแสดงปุ่มตัวเชื่อมต่อองค์กรเฉพาะบนหน้าลงชื่อเข้าใช้ได้หรือไม่?

ลูกค้าองค์กรแต่ละรายใช้ผู้ให้บริการข้อมูลระบุตัวตนที่แตกต่างกันในการจัดการพนักงาน และร้องขอขอบเขต (OIDC) หรือแอตทริบิวต์ (SAML) ที่แตกต่างกัน ดังนั้นจึงไม่แนะนำให้แสดงปุ่มตัวเชื่อมต่อองค์กรที่ตั้งใจสำหรับลูกค้ารายใดรายหนึ่งบนหน้าลงชื่อเข้าใช้ทั่วไป

อย่างไรก็ตาม หากคุณกำลังพัฒนาโปรดักต์ B2E และต้องการแสดงปุ่มสำหรับลูกค้าองค์กรเฉพาะ คุณสามารถสร้างหน้าลงชื่อเข้าใช้แบบกำหนดเองและใช้ directSignIn:sso เพื่อกำหนดเส้นทางปุ่มให้เหมาะสม ดูข้อมูลเพิ่มเติมเกี่ยวกับ พารามิเตอร์การเข้าสู่ระบบโดยตรง

จะเปิดใช้งานการลงชื่อเข้าใช้และลงทะเบียนเฉพาะ SSO ได้อย่างไร?

เพื่อเปิดใช้งานการลงชื่อเข้าใช้และลงทะเบียนเฉพาะ SSO ให้ทำตามขั้นตอนดังนี้:

  1. กำหนดค่าใน Console > ประสบการณ์การลงชื่อเข้าใช้ > ลงทะเบียนและลงชื่อเข้าใช้
    • ลงทะเบียน: ไม่รองรับ
    • ลงชื่อเข้าใช้: ไม่มี
    • การเข้าสู่ระบบโซเชียล: ไม่มี
    • Enterprise SSO: เปิดใช้งาน
    • การลงทะเบียนผู้ใช้: ปิดใช้งาน
  2. เพิ่มผู้ใช้ด้วยตนเองโดยกรอกอีเมลองค์กรใน Console > การจัดการผู้ใช้ หรือ นำเข้าโดยใช้ Management API
  3. เมื่อผู้ใช้ลงชื่อเข้าใช้ผ่าน SSO เป็นครั้งแรก Logto จะ เชื่อมโยงอัตโนมัติ อีเมลที่มีอยู่กับบัญชี SSO ของพวกเขา