企業連接器

Logto 的 單一登入 (SSO) 解決方案 簡化了企業客戶的存取管理。企業 SSO 連接器對於為不同的企業客戶啟用 SSO 至關重要。

這些連接器促進了你的服務與企業身分提供者 (IdPs) 之間的驗證過程。Logto 支援 SP 發起的 SSO 和 IdP 發起的 SSO，允許組織成員使用其現有的公司憑證存取你的服務，增強安全性和生產力。

企業連接器

Logto 提供流行企業身分提供者的預建連接器，提供快速整合。對於自訂需求，我們支援透過 OpenID Connect (OIDC) 和 SAML 協議進行整合。

流行的企業連接器

Microsoft Entra ID (OIDC)

Microsoft Entra ID (SAML)

Google Workspace (OIDC)

Okta (OIDC)

自訂你的企業連接器

OIDC (enterprise)

SAML (enterprise)

如果我們的標準連接器無法滿足你的特定需求，請隨時聯繫我們。

配置企業連接器

1. 前往：控制台 > 企業 SSO。
2. 點擊「新增企業連接器」按鈕並選擇連接器類型。
3. 提供一個唯一名稱（例如，Acme 公司的 Okta）。
4. 在「連接」標籤中配置與你的 IdP 的連接。檢查上方指南以獲取每種連接器類型的詳細信息。
5. 在「使用體驗」標籤中自訂 SSO 體驗和 電子郵件網域。
6. 對於 SAML 企業連接器，在「IdP 發起的 SSO」標籤中啟用 IdP 發起的 SSO 是可選的。請參考指南以獲取詳細信息。
7. 儲存變更。

請注意以下設置：

• 電子郵件網域：如果使用者輸入的電子郵件的網域位於某些企業 SSO 連接器的「企業電子郵件網域」欄位中，使用者將被重定向到該 SSO 連接器的相應登入 URL。

  備註:

  請注意，在 SSO 連接器中配置相關電子郵件網域後，使用這些網域的電子郵件登入的使用者將被強制使用 SSO 登入。

  換句話說，只有未在 SSO 連接器中配置的網域的電子郵件才能使用「電子郵件 + 驗證碼」或「電子郵件 + 密碼」登入（前提是這兩種登入方法在登入體驗中已啟用）。

• 同步使用者資料：選擇何時同步使用者資料資訊（例如，頭像、名稱）。預設行為是「僅在首次登入時同步」。另一個選擇是「每次登入時總是同步」，但可能導致自訂使用者資料被覆蓋。

• 顯示資訊：可選擇自訂連接器的顯示名稱和標誌。當多個連接器與同一電子郵件網域相關聯時，這非常有用。使用者將從 SSO 連接器按鈕列表中選擇所需的 IdP，然後被重定向到 IdP 登入頁面。

啟用企業 SSO

1. 前往：控制台 > 登入體驗 > 註冊和登入。
2. 啟用「企業 SSO」切換。
3. 儲存變更。

啟用後，「單一登入」按鈕將出現在你的登入頁面上。具有 SSO 啟用電子郵件網域的企業使用者可以使用其企業身分提供者 (IdPs) 存取你的服務。要了解有關 SSO 使用者體驗的更多信息，請參閱使用者流程：企業 SSO。

即時佈建到組織

在 Logto 中，即時佈建 (JIT, Just-in-Time provisioning) 是一個用於在使用者首次登入系統時即時自動分配組織成員資格和角色的過程。

Logto 提供了一個配置 SSO 連接器 JIT 佈建的入口點，請參閱參考資料。

常見問題

企業 SSO 連接器變更後對現有使用者的影響？

• 新增 SSO：如果電子郵件匹配，SSO 身分將與現有帳戶連結。
• 移除 SSO：移除與帳戶連結的 SSO 身分，但保留使用者帳戶，並提示使用者設置替代驗證方法。

相關資源

IdP 發起的 SSO 與 SP 發起的 SSO

SAML 與 OpenID Connect 的差異