跳到主要内容

企业单点登录 (SSO) 身份

企业单点登录 (SSO) 账户关联

新用户使用企业单点登录 (SSO) 登录

当新用户使用新的企业单点登录 (SSO) 身份注册时,Logto 将自动创建一个与企业身份关联的新用户账户。primary emailnameavatar 将自动填充为 IdP 提供的数据。其他附加的用户资料数据将存储在用户的 SSO 身份资料下。

备注:

SAML 属性映射 未正确配置或身份提供商未提供用户电子邮件时,资料关联情况可能会有所不同。

现有用户使用企业单点登录 (SSO) 登录

如果与企业单点登录 (SSO) 身份关联的工作电子邮件地址与 Logto 中的现有用户账户匹配,Logto 将自动将企业单点登录 (SSO) 身份链接到现有用户账户。

备注:

一旦电子邮件域与企业单点登录 (SSO) 连接器关联,所有具有指定电子邮件域的现有用户将被限制使用企业单点登录 (SSO) 连接器登录。他们之前的登录方法将被阻止。例如,电子邮件 / 密码、电子邮件验证码和社交登录方法。

使用企业单点登录 (SSO) 的多因素认证 (MFA)

使用企业单点登录 (SSO) 时,多因素认证 (MFA) 要求通常由 IdP 管理。在 Logto 中,来自 IdP 的所有认证 (Authentication) 身份都被视为可信,因此通过企业单点登录 (SSO) 登录的用户将绕过 MFA 验证 以增强用户体验。确保在 IdP 端启用 MFA 保护是至关重要的。

删除企业连接器

当你从 Logto 删除企业连接器时:

  • 用户账户保留:用户账户不会被删除;只有他们与企业身份提供商的链接被移除。
  • 用户下次登录时:下次这些用户尝试登录时,他们将被提示使用替代方法,例如 Logto 中配置的标准登录方法(例如,电子邮件和密码)。如果他们之前没有设置密码,他们将在此时被引导创建一个。
  • 用户 SSO 身份资料删除:用户的 SSO 身份以及关联的资料数据将从 Logto 中删除。