企業級單一登入 (SSO)

單一登入 (SSO, Single Sign-On) 允許使用者使用一組憑證登入多個應用程式。這簡化了企業使用者的驗證 (Authentication) 流程，特別是對於現今的工作平台 SaaS。

Logto 提供多種企業級單一登入 (SSO) 連接器，讓你可以輕鬆設定並整合到你的應用程式中，例如 Google Workspace、Microsoft Azure AD、Okta 等。

企業級單一登入 (SSO) 的關鍵組成部分

身分提供者 (IdP, Identity provider)：一種服務，用於驗證使用者身分並管理其登入憑證。確認使用者身分後，IdP 生成驗證 (Authentication) 權杖或斷言，允許使用者存取各種應用程式或服務，而無需再次登入。基本上，它是管理企業中員工身分和權限的首選系統。範例：Okta、Azure AD、Google Workspace、LastPass、OneLogin、Ping Identity、Cyberark 等。了解更多關於 IdP。
服務提供者 (SP, Service provider)：需要使用者驗證 (Authentication) 的系統或應用程式，依賴身分提供者 (IdP) 進行驗證 (Authentication)。SP 從 IdP 接收驗證 (Authentication) 權杖或斷言，授予其資源的存取權，而無需單獨的登入憑證。範例：Slack、Shopify、Dropbox、Figma、Notion 等，以及你的服務。了解更多關於 SP。
企業身分：通常透過使用公司電子郵件網域登入來識別。這個企業電子郵件帳戶最終屬於公司。

IdP 發起的 SSO：在 IdP 發起的 SSO 中，身分提供者 (IdP) 主要控制單一登入流程。此流程始於使用者登入 IdP 平台，例如公司入口網站或集中身分儀表板。一旦驗證 (Authentication) 成功，IdP 生成驗證 (Authentication) 權杖或斷言，然後用於無縫授予使用者存取多個連接的服務或應用程式 (SP)，而無需額外登入。
SP 發起的 SSO：在 SP 發起的 SSO 中，服務提供者 (SP) 主導並管理單一登入流程，通常在 B2B 場景中更受青睞。此場景發生在使用者嘗試存取特定服務或應用程式 (SP) 並被重定向到其 IdP 進行驗證 (Authentication)。在 IdP 成功登入後，驗證 (Authentication) 權杖被發送回 SP，授予使用者存取權。Logto 支援你的 B2B 服務的 SP 發起的 SSO。

SAML：安全斷言標記語言 (SAML, Security Assertion Markup Language) 是一種基於 XML 的開放標準，用於在 IdP 和 SP 之間交換驗證 (Authentication) 和授權 (Authorization) 資料。此協議特別擅長處理複雜的企業級安全需求。
OIDC：OpenID Connect (OIDC) 是建立在 OAuth 2.0 協議之上的簡單身分層。它使用 JSON/REST 進行通信，使其更輕量化，更適合現代應用程式架構，包括行動應用程式和單頁應用程式 (SPAs)。

Logto 允許你在網站上新增社交登入按鈕，並直接啟動 SSO 登入流程，而不顯示預設的登入表單。請參閱我們的直接登入指南以獲取詳細說明。

企業級單一登入 (SSO)：它是什麼、如何運作以及為什麼重要