SP 發起的單一登入 (SSO)
SP 發起的單一登入 (SSO) 是預設且比 IdP 發起的 SSO 更安全的方法,允許企業使用者從 Logto 登入頁面啟動 SSO 登入流程。Logto 支援 電子郵件網域提示 SSO 和 直接登入參數 SSO。
設定 SP 發起的 SSO
-
啟用企業級單一登入 (SSO) 在你的身分系統中
要啟用企業級 SSO,請前往 控制台 > 登入體驗 > 註冊與登入 並開啟「啟用企業級 SSO」設定。啟用後,「單一登入」按鈕將出現在你的登入頁面上。具有 SSO 啟用電子郵件網域的企業使用者可以透過其企業身分提供者存取你的服務。
-
為不同客戶建立企業連接器
接下來,你需要為你的客戶整合每個企業身分提供者。類似於社交登入,在 Logto 中建立新的企業連接器並配置所需設定。前往 控制台 > 企業級 SSO,點擊「新增企業連接器」按鈕,並按照指示設定連接器。參考 企業級 SSO 連接器設定。
-
為企業連接器設定電子郵件網域
企業級 SSO 身分通常由公司電子郵件網域識別。在每個企業連接器的 SSO 體驗標籤頁中,你可以指定相關的電子郵件網域。
具有指定電子郵件網域的使用者將被限制只能透過此企業級 SSO 連接器登入,而其他登入方法(如電子郵件驗證碼、電子郵件密碼驗證或社交登入)將對這些使用者停用。SSO 連接器僅對具有指定電子郵件網域的使用者可見。
備註:公共電子郵件網域(例如 gmail.com、yahoo.com)無法連結到企業連接器。
SP 發起的 SSO 體驗
當使用者嘗試使用為 SSO 配置的企業電子郵件網域登入時,SSO 即被啟用。此過程繞過密碼等標準驗證方法。
-
單一登入按鈕:
當啟用企業級 SSO 登入方法時,「單一登入」按鈕將作為登入頁面上的替代登入選項出現。點擊此連結,使用者將被提示輸入其企業電子郵件地址以啟動 SSO 流程。
- 單一連接器:如果使用者的電子郵件網域僅關聯一個企業級 SSO 連接器,使用者將直接被重定向到 IdP 登入頁面。
- 多個連接器:如果使用者的電子郵件網域關聯多個企業級 SSO 連接器,使用者將首先從列表中選擇所需的 IdP,然後被重定向到 IdP 登入頁面。
-
通用電子郵件登入:
在通用識別符登入表單中(啟用電子郵件登入方法),企業級 SSO 電子郵件網域檢測預設為啟用狀態。當使用者輸入其電子郵件地址時,Logto 會自動識別該網域是否關聯企業級 SSO 連接器。如果找到匹配,預設登入表單將更新:「登入」按鈕變更為「單一登入」按鈕,限制使用者僅能使用企業級 SSO 連接器登入。
常見問題
我可以使用組織名稱/網域而非電子郵件網域來重定向到 IdP 嗎?
目前,Logto 預建的登入體驗僅支援 電子郵件網域提示 SSO,不支援 組織網域提示 SSO。
你可以在客戶端創建自訂路由頁面,使用 directSignIn:'sso:{connectorId} 驗證參數。此頁面將根據其組織網域將大型企業客戶重定向到適當的 IdP。了解更多關於 直接登入參數。
我可以在登入頁面上顯示特定企業連接器按鈕嗎?
不同的企業客戶使用不同的身分提供者來管理其員工,並請求不同的權限範圍 (OIDC) 或屬性 (SAML)。因此,不建議在通用登入頁面上顯示針對特定客戶的企業連接器按鈕。
然而,如果你正在開發 B2E 產品並希望為特定企業客戶顯示按鈕,你可以創建自訂登入頁面並使用 directSignIn:sso 來適當地路由按鈕。了解更多關於 直接登入參數。
如何啟用僅限 SSO 的登入和註冊?
要啟用僅限 SSO 的登入和註冊,請按照以下步驟操作:
- 在 控制台 > 登入體驗 > 註冊與登入 中配置
- 註冊:不適用
- 登入:無
- 社交登入:無
- 企業級 SSO:已啟用
- 使用者註冊:已停用
- 手動新增使用者,輸入其企業電子郵件地址於 控制台 > 使用者管理 或透過 Management API 匯入。
- 當使用者首次透過 SSO 登入時,Logto 將自動將其現有電子郵件地址連結到其 SSO 帳戶。了解更多關於 企業級 SSO 帳戶連結。