企业连接器
Logto 的单点登录 (SSO) 解决方案简化了企业客户的访问管理。企业 SSO 连接器对于为不同的企业客户启用 SSO 至关重要。
这些连接器促进了你的服务与企业身份提供商 (IdPs) 之间的认证 (Authentication) 过程。Logto 支持 SP 发起的 SSO 和 IdP 发起的 SSO,允许组织成员使用他们现有的公司凭据访问你的服务,提高安全性和生产力。
企业连接器
Logto 为流行的企业身份提供商提供了预构建的连接器,提供快速集成。对于自定义需求,我们支持通过 OpenID Connect (OIDC) 和 SAML 协议进行集成。
流行的企业连接器
自定义你的企业连接器
如果我们的标准连接器不能满足你的特定需求,请随时联系我们。
配置企业连接器
- 导航到:控制台 > 企业 SSO。
- 点击“添加企业连接器”按钮并选择连接器类型。
- 提供一个唯一名称(例如,Acme 公司的 Okta)。
- 在“连接”选项卡中配置与你的 IdP 的连接。查看上面的指南以获取每种连接器类型的详细信息。
- 在“体验”选项卡中自定义 SSO 体验和电子邮件域。
- 对于 SAML 企业连接器,在“IdP 发起的 SSO”选项卡中启用 IdP 发起的 SSO 是可选的。请参考指南以获取详细信息。
- 保存更改。
请注意以下设置:
-
电子邮件域:如果用户输入的电子邮件的域在某些企业 SSO 连接器的“企业电子邮件域”字段中,用户将被重定向到该 SSO 连接器的相应登录 URL。
备注重要的是要注意,在 SSO 连接器中配置相关电子邮件域后,使用属于这些域的电子邮件登录的用户将被强制使用 SSO 登录。
换句话说,只有那些未在 SSO 连接器中配置的域的电子邮件才 能使用“电子邮件 + 验证码”或“电子邮件 + 密码”登录(前提是登录体验中启用了这两种登录方法)。
-
同步用户资料:选择何时同步用户资料信息(例如头像、姓名)。默认行为是“仅在首次登录时同步”。“每次登录时始终同步”是该字段的另一个选择,但可能导致自定义用户数据被覆盖。
-
显示信息:可选地,自定义连接器的显示名称和徽标。当多个连接器与同一电子邮件域关联时,这非常有用。用户将在被重定向到 IdP 登录页面之前,从 SSO 连接器按钮列表中选择所需的 IdP。
启用企业 SSO
- 导航到:控制台 > 登录体验 > 注册和登录。
- 启用“企业 SSO”切换。
- 保存更改。
启用后,“单点登录”按钮将出现在你的登录页面上。具有 SSO 启用电子邮件域的企业用户可以使用他们的企业身份提供商 (IdPs) 访问你的服务。要了解更多关于 SSO 用户体验的信息,请参考用户流程:企业 SSO。
即时加入组织
在 Logto 中,即时 (JIT) 供应 是一种用于在用户首次登录系统时动态分配组织成员资格和角色的过程。
Logto 提供了一个入口点,用于在组织内配置 SSO 连接器的 JIT 供应,详见参考。
常见问题
企业 SSO 连接器更改后对现有用户的影响?
- 添加 SSO:如果电子邮件匹配,SSO 身份将链接到现有帐户。
- 移除 SSO:移除与帐户链接的 SSO 身份,但保留用户帐户,并提示用户设置替代验证方法。
相关资源
IdP 发起的 SSO 与 SP 发起的 SSO
SAML 与 OpenID Connect