エンタープライズシングルサインオン (SSO) アイデンティティ
エンタープライズシングルサインオン (SSO) アカウント連携
新規ユーザーがエンタープライズシングルサインオン (SSO) でサインインする場合
新しいエンタープライズシングルサインオン (SSO) アイデンティティで新規ユーザーがサインアップすると、Logto は自動的にエンタープライズアイデンティティに関連付けられた新しいユーザーアカウントを作成します。primary email、name、avatar は IdP から提供されたデータで自動的に入力されます。その他の追加ユーザープロファイルデータは、ユーザーの SSO アイデンティティプロファイルの下に保存されます。
SAML 属性マッピング が正しく構成されていない場合や、アイデンティティプロバイダーからユーザーのメールアドレスが提供されていない場合、プロファイル連携の状況が異なる場合があります。
既存ユーザーがエンタープライズシングルサインオン (SSO) でサインインする場合
エンタープライズシングルサインオン (SSO) アイデンティティに関連付けられた業務用メールアドレスが Logto の既存ユーザーアカウントと一致する場合、Logto はエンタープライズシングルサインオン (SSO) アイデンティティを既存のユーザーアカウントに自動的にリンクします。
メールドメインがエンタープライズシングルサインオン (SSO) コネクターに関連付けられると、指定されたメールドメインを持つすべての既存ユーザーは、そのエンタープライズシングルサインオン (SSO) コネクターでのみサインインできるように制限されます。以前のサインイン方法(例:メール/パスワード、メール認証コード、ソーシャルサインイン)はブロックされます。
エンタープライズシングルサインオン (SSO) ユーザーは パスキーサインイン を紐付けたり利用したりすることもできません。認証はエンタープライズ IdP フロー内で完結することが想定されています。
エンタープライズシングルサインオン (SSO) での多要素認証 (MFA)
エンタープライズシングルサインオン (SSO) を利用する場合、MFA(多要素認証)の要件は通常 IdP 側で管理されます。Logto では、IdP から認証されたすべてのアイデンティティは信頼済みと見なされるため、エンタープライズシングルサインオン (SSO) でサインインするユーザーに対しては MFA 検証 がスキップされ、ユーザー体験が向上します。MFA 保護が IdP 側で有効になっていることを必ずご確認ください。
エンタープライズコネクターの削除
Logto からエンタープライズコネクターを削除すると:
- ユーザーアカウントは残る:ユーザーアカウント自体は削除されず、エンタープライズアイデンティティプロバイダーとのリンクのみが解除されます。
- 次回サインイン時:これらのユーザーが次回サインインしようとすると、Logto で設定された標準のサインイン方法(例:メールとパスワードなど)など、代替手段の利用を促されます。以前にパスワードを設定していない場合は、このタイミングで作成を案内されます。
- ユーザー SSO アイデンティティプロファイルの削除:ユーザーの SSO アイデンティティおよび関連するプロファイルデータは Logto から削除されます。