企业连接器
Logto 的单点登录 (SSO) 解决方案简化了企业客户的访问管理。企业 SSO 连接器对于为不同的企业客户启用 SSO 至关重要。
这些连接器促进了你的服务与企业身份提供商 (IdP) 之间的认证 (Authentication) 过程。Logto 支持 SP 发起的 SSO 和 IdP 发起的 SSO,允许组织 (Organization) 成员使用他们现有的公司凭据访问你的服务,从而增强安全性和生产力。了解更多关于 SSO 概念的信息,请参阅我们的专门文档:
企业连接器
Logto 为流行的企业身份提供商提供了预构建的连接器,提供快速集成。对于自定义需求,我们支持通过 OIDC 和 SAML 协议进行集成。
流行的企业连接器
自定义你的企业连接器
如果我们的标准连接器不能满足你的特定需求,请随时联系我们。
配置企业连接器
- 导航到:控制台 > 企业 SSO。
- 点击“添加企业连接器”按钮并选择连接器类型。
- 提供一个唯一名称(例如,Acme 公司的 Okta)。
- 在“连接”选项卡中配置与你的 IdP 的连接。查看上面的指南以获取每种连接器类型的信息。
- 在“体验 (Experience)”选项卡中自定义 SSO 体验和电子邮件域。
- 对于 SAML 企业连接器,在“IdP 发起的 SSO”选项卡中启用 IdP 发起的 SSO 是可选的。请参阅指南以获取详细信息。
- 保存更改。
请注意以下设置:
-
电子邮件域:如果用户输入的电子邮件的域在某些企业 SSO 连接器的“企业电子邮件域”字段中,用户将被重定向到该 SSO 连接器的相应登录 URL。
备注重要的是要注意,在 SSO 连接器中配置相关电子邮件域后,使用属于这些域的电子邮件登录的用户将被强制使用 SSO 登录。
换句话说,只有那些未在 SSO 连接器中配置的域的电子邮件才能使用“电子邮件 + 验证码”或“电子邮件 + 密码”登录(前提是这些登录方法在登录体验中已启用)。
-
同步用户资料:选择何时同步用户资料信息(例如,头像、姓名)。默认行为是“仅在首次登录时同步”。“每次登录时总是同步”是该字段的另一个选择,但可能导致自定义用户数据被覆盖。
-
显示信息:可选地,自定义连接器的显示名称和徽标。当多个连接器与同一电子邮件域关联时,这非常有用。
启用企业 SSO
- 导航到:控制台 > 登录体验 > 注册和登录。
- 启用“企业 SSO”切换。
- 保存更改。
启用后,“单点登录”按钮将出现在你的登录页面上。具有 SSO 启用电子邮件域的企业用户可以使用他们的企业身份提供商 (IdP) 访问你的服务。要了解更多关于 SSO 用户体验的信息,请参阅用户流程:企业 SSO。
即时加入组织 (Organization)
在 Logto 中,即时 (Just-in-Time, JIT) 供应 是一种用于在用户首次登录系统时动态分配组织 (Organization) 成员资格和角色 (Role) 的过程。
Logto 提供了一个入口点,用于在组织 (Organization) 中配置 SSO 连接器的 JIT 供应,参见参考(链接到 JIT 供应 SSO 部分)。
常见问题
企业 SSO 连接器更改后对现有用户的影响?
- 添加 SSO:如果电子邮件匹配,SSO 身份将链接到现有帐户。
- 移除 SSO:移除链接到帐户的 SSO 身份,但保留用户帐户,并提示用户设置替代验证方法。