企业单点登录 (SSO)
单点登录 (SSO) 允许用户使用一组凭据登录多个应用程序。它简化了企业用户的认证 (Authentication) 过程,特别是对于当今的工作场所 SaaS 平台。
Logto 通过提供广泛的企业单点登录 (SSO) 连接器来增强 SSO 体验,你可以轻松设置并与应用程序集成,例如 Google Workspace、Microsoft Azure AD、Okta 等。
企业单点登录 (SSO) 的关键组件
- 身份提供商 (IdP):验证用户身份并管理其登录凭据的服务。在确认用户身份后,IdP 生成认证 (Authentication) 令牌或断言,并允许用户访问各种应用程序或服务,而无需再次登录。基本上,它是管理企业中员工身份和权限的首选系统。示例:Okta、Azure AD、Google Workspace、LastPass、OneLogin、Ping Identity、Cyberark 等。了解更多关于 IdP。
- 服务提供商 (SP):需要用户认证 (Authentication) 并依赖身份提供商 (IdP) 进行认证 (Authentication) 的系统或应用程序。SP 从 IdP 接收认证 (Authentication) 令牌或断言,授予对其资源的访问权限,而无需单独的登录凭据。示例:Slack、Shopify、Dropbox、Figma、Notion 等……以及你的服务。了解更多关于 SP。
- 企业身份:通常通过使用公司电子邮件域进行登录来识别。这个企业电子邮件帐户最终属于公司。
支持的 SSO 工作流程
- IdP 发起的 SSO:在 IdP 发起的 SSO 中,身份提供商 (IdP) 主要控制单点登录过程。此过程始于用户登录到 IdP 的平台,例如公司门户或集中身份仪表板。一旦认证 (Authentication) 成功,IdP 生成一个认证 (Authentication) 令牌或断言,然后用于无缝地授予用户访问多个连接服务或应用程序 (SP) 的权限,而无需额外的登录。
- SP 发起的 SSO:在 SP 发起的 SSO 中,服务提供商 (SP) 主导发起和管理单点登录过程,这在 B2B 场景中常被偏好。当用户尝试访问特定服务或应用程序 (SP) 并被重定向到其 IdP 进行认证 (Authentication) 时,就会出现这种情况。在 IdP 成功登录后,认证 (Authentication) 令牌被发送回 SP,授予用户访问权限。Logto 支持你的 B2B 服务的 SP 发起的 SSO。
支持的 SSO 协议
- SAML:安全断言标记语言 (SAML) 是一种基于 XML 的开放标准,用于在 IdP 和 SP 之间交换认证 (Authentication) 和授权 (Authorization) 数据。此协议特别擅长处理复杂的企业级安全需求。
- OIDC:OpenID Connect (OIDC) 是建立在 OAuth 2.0 协议之上的简单身份层。它使用 JSON/REST 进行通信,使其更轻量化,更适合现代应用程序架构,包括移动和单页应用程序 (SPAs)。
常见问题解答
如何在我的网站上添加 SSO 连接器按钮并直接通过 SSO 提供商登录?
Logto 允许你在网站上添加社交登录按钮,并直接启动 SSO 登录过程,而无需显示默认的登录表单。查看我们的 直接登录 指南以获取详细说明。