SSO initié par le SP

Le SSO initié par le SP, la méthode par défaut et plus sécurisée que le SSO initié par l’IdP, permet aux utilisateurs d’entreprise d’initier le processus de connexion SSO depuis la page de connexion Logto. Logto prend en charge à la fois l’invite de domaine e-mail pour le SSO et le paramètre de connexion directe pour le SSO.

remarque:

Les utilisateurs SSO d’entreprise ne prennent pas en charge l’association ou l’utilisation de la connexion par passkey.

Configurer le SSO initié par le SP

1. Activez le SSO d’entreprise dans votre système d’identité

   Pour activer le SSO d’entreprise, accédez à Console > Connexion & compte > Inscription et connexion et activez l’option "Activer le SSO d’entreprise". Une fois activée, un bouton "Authentification unique (SSO)" apparaîtra sur votre page de connexion. Les utilisateurs d’entreprise avec des domaines e-mail compatibles SSO pourront accéder à vos services via leur fournisseur d’identité d’entreprise.

2. Créez des connecteurs d’entreprise pour différents clients

   Ensuite, vous devez intégrer chaque fournisseur d’identité d’entreprise pour vos clients. Comme pour la connexion sociale, créez un nouveau connecteur d’entreprise dans Logto et configurez les paramètres requis. Rendez-vous dans Console > SSO d’entreprise, cliquez sur le bouton "Ajouter un connecteur d’entreprise" et suivez les instructions pour configurer le connecteur. Consultez la configuration du connecteur SSO d’entreprise.

3. Configurez les domaines e-mail pour le connecteur d’entreprise

   Les identités SSO d’entreprise sont généralement reconnues par un domaine e-mail d’entreprise. Dans l’onglet Expérience SSO de la page de détails de chaque connecteur d’entreprise, vous pouvez spécifier les domaines e-mail associés.

   Les utilisateurs avec les domaines e-mail spécifiés seront limités à une connexion exclusivement via ce connecteur SSO d’entreprise, tandis que les autres méthodes de connexion — telles que les codes de vérification par e-mail, l’authentification e-mail / mot de passe ou la connexion sociale — seront désactivées pour ces utilisateurs. Le connecteur SSO ne sera visible que pour les utilisateurs avec les domaines e-mail spécifiés.

   remarque:

   Les domaines e-mail publics (par exemple, gmail.com, yahoo.com) ne peuvent pas être liés à un connecteur d’entreprise.

Expérience SSO initiée par le SP

Le SSO est activé lorsque les utilisateurs tentent de se connecter avec un domaine e-mail d’entreprise configuré pour le SSO. Ce processus contourne les méthodes de vérification standard comme les mots de passe.

1. Bouton d’authentification unique :

   Lorsque la méthode de connexion SSO d’entreprise est activée, un bouton "Authentification unique (SSO)" apparaîtra comme option alternative sur la page de connexion. En cliquant sur ce lien, les utilisateurs sont invités à saisir leur adresse e-mail d’entreprise pour initier le processus SSO.

   • Connecteur unique : Si un seul connecteur SSO d’entreprise est associé au domaine e-mail de l’utilisateur, celui-ci est redirigé directement vers la page de connexion de l’IdP.
   • Connecteurs multiples : Si plusieurs connecteurs SSO d’entreprise sont associés au domaine e-mail de l’utilisateur, celui-ci devra d’abord sélectionner l’IdP souhaité dans une liste avant d’être redirigé vers la page de connexion de l’IdP.
   

2. Connexion universelle par e-mail :

   Dans le formulaire de connexion par identifiant universel (avec la méthode de connexion par e-mail activée), la détection du domaine e-mail SSO d’entreprise est activée par défaut. Lorsque les utilisateurs saisissent leur adresse e-mail, Logto identifie automatiquement si un connecteur SSO d’entreprise est associé à ce domaine. Si une correspondance est trouvée, le formulaire de connexion par défaut est mis à jour : le bouton "Se connecter" devient un bouton "Authentification unique (SSO)", limitant l’utilisateur à la connexion via le(s) connecteur(s) SSO d’entreprise.

   

FAQ

Puis-je utiliser le nom / domaine de l’organisation au lieu du domaine e-mail pour rediriger vers l’IdP ?

Actuellement, l’expérience de connexion préconstruite de Logto prend uniquement en charge l’invite de domaine e-mail pour le SSO, et non l’invite de domaine d’organisation pour le SSO.

Vous pouvez créer une page de routage personnalisée côté client en utilisant les paramètres d’authentification avec directSignIn:'sso:{connectorId}. Cette page redirigera les grands clients d’entreprise vers l’IdP approprié en fonction de leur domaine d’organisation. En savoir plus sur le paramètre de connexion directe.

Puis-je afficher un bouton de connecteur d’entreprise spécifique sur la page de connexion ?

Différents clients d’entreprise utilisent différents fournisseurs d’identité pour gérer leurs employés, et demandent différentes portées (OIDC) ou attributs (SAML). Par conséquent, il n’est pas recommandé d’afficher un bouton de connecteur d’entreprise destiné à un client spécifique sur une page de connexion générique.

Cependant, si vous développez un produit B2E et souhaitez afficher un bouton pour un client d’entreprise spécifique, vous pouvez créer une page de connexion personnalisée et utiliser directSignIn:sso pour router le bouton de manière appropriée. En savoir plus sur le paramètre de connexion directe.

Comment activer la connexion et l’inscription SSO uniquement ?

Pour activer la connexion et l’inscription SSO uniquement, suivez ces étapes :

1. Configurez dans Console > Connexion & compte > Inscription et connexion
   • Inscription : Non applicable
   • Connexion : Aucune
   • Connexion sociale : Aucune
   • SSO d’entreprise : Activé
   • Inscription utilisateur : Désactivée
2. Ajoutez manuellement les utilisateurs en saisissant leur adresse e-mail d’entreprise dans Console > Gestion des utilisateurs ou importez via la Management API.
3. Lorsque les utilisateurs se connectent via SSO pour la première fois, Logto associera automatiquement leur adresse e-mail existante à leur compte SSO.