メインコンテンツまでスキップ

SP-initiated SSO

SP-initiated SSO は、デフォルトかつ IdP-initiated SSO よりも安全な方法であり、エンタープライズユーザーが Logto のサインインページから SSO ログインプロセスを開始できるようにします。Logto は メールドメインプロンプト SSOSSO 用のダイレクトサインインパラメーター の両方をサポートしています。

注記:

エンタープライズ SSO ユーザーは パスキーサインイン の紐付けや利用をサポートしていません。

SP-initiated SSO の設定

  1. エンタープライズ SSO を有効化する

    エンタープライズ SSO を有効にするには、コンソール > サインイン & アカウント > サインアップとサインイン に移動し、「エンタープライズ SSO を有効にする」設定をオンにします。有効化すると、サインインページに「シングルサインオン」ボタンが表示されます。SSO が有効なメールドメインを持つエンタープライズユーザーは、自社のアイデンティティプロバイダー経由でサービスにアクセスできます。

  2. 各クライアント用にエンタープライズコネクターを作成する

    次に、各クライアントのエンタープライズアイデンティティプロバイダーを統合する必要があります。ソーシャルサインインと同様に、Logto で新しいエンタープライズコネクターを作成し、必要な設定を行います。コンソール > エンタープライズ SSO に移動し、「エンタープライズコネクターを追加」ボタンをクリックし、手順に従ってコネクターを設定してください。エンタープライズ SSO コネクターのセットアップ を参照してください。

  3. エンタープライズコネクターにメールドメインを設定する

    エンタープライズ SSO のアイデンティティは、通常、企業のメールドメインによって識別されます。各エンタープライズコネクターの詳細ページの SSO 体験タブで、関連付けるメールドメインを指定できます。

    指定したメールドメインを持つユーザーは、このエンタープライズ SSO コネクター経由でのみサインインできるようになり、他のサインイン方法(メール認証コード、メールパスワード認証、ソーシャルログインなど)は無効化されます。SSO コネクターは、指定したメールドメインを持つユーザーのみに表示されます。

    注記:

    パブリックなメールドメイン(例: gmail.com、yahoo.com)はエンタープライズコネクターに紐付けできません。

SP-initiated SSO 体験

SSO は、SSO 用に設定されたエンタープライズメールドメインでサインインしようとした際に有効化されます。このプロセスでは、パスワードなどの標準的な認証方法をスキップします。

  1. シングルサインオンボタン

    エンタープライズ SSO サインイン方法が有効な場合、サインインページに「シングルサインオン」ボタンが代替サインインオプションとして表示されます。このリンクをクリックすると、ユーザーはエンタープライズメールアドレスの入力を求められ、SSO プロセスが開始されます。

    • コネクターが 1 つの場合:ユーザーのメールドメインに 1 つのエンタープライズ SSO コネクターのみが紐付いている場合、ユーザーは直接 IdP のログインページにリダイレクトされます。
    • コネクターが複数の場合:ユーザーのメールドメインに複数のエンタープライズ SSO コネクターが紐付いている場合、ユーザーはまずリストから希望する IdP を選択し、その後 IdP のログインページにリダイレクトされます。
    シングルサインオンボタン

  2. ユニバーサルメールサインイン

    ユニバーサル識別子サインインフォーム(メールサインイン方法が有効な場合)では、エンタープライズ SSO メールドメインの検出がデフォルトで有効になっています。ユーザーがメールアドレスを入力すると、Logto はそのドメインにエンタープライズ SSO コネクターが紐付いているか自動的に判別します。一致する場合、デフォルトのサインインフォームが更新され、「サインイン」ボタンが「シングルサインオン」ボタンに変わり、ユーザーはエンタープライズ SSO コネクターでのみサインインできるようになります。

    ユニバーサルメールサインイン

よくある質問

メールドメインの代わりに組織名 / ドメインで IdP へリダイレクトできますか?

現在、Logto の組み込みサインイン体験は メールドメインプロンプト SSO のみをサポートしており、組織ドメインプロンプト SSO には対応していません。

クライアント側で認証パラメーター directSignIn:'sso:{connectorId} を使ってカスタムルーティングページを作成できます。このページで、組織ドメインに基づき大規模エンタープライズクライアントを適切な IdP へリダイレクトできます。ダイレクトサインインパラメーター について詳しくはこちら。

サインインページに特定のエンタープライズコネクターボタンを表示できますか?

エンタープライズクライアントごとに異なるアイデンティティプロバイダーを利用し、要求するスコープ(OIDC)や属性(SAML)も異なります。そのため、特定クライアント向けのエンタープライズコネクターボタンを汎用サインインページに表示することは推奨されません。

ただし、B2E 製品を開発しており、特定のエンタープライズクライアント向けのボタンを表示したい場合は、カスタムログインページを作成し、directSignIn:sso を利用してボタンを適切にルーティングできます。ダイレクトサインインパラメーター について詳しくはこちら。

SSO のみのサインインと登録を有効にするには?

SSO のみのサインインと登録を有効にするには、以下の手順を実施してください:

  1. コンソール > サインイン & アカウント > サインアップとサインイン

     で設定 - サインアップ:該当なし - サインイン:なし - ソーシャルサインイン:なし - エンタープライズ SSO:有効 - ユーザー登録:無効
  2. コンソール > ユーザー管理 でエンタープライズメールアドレスを入力してユーザーを手動追加、または Management API でインポート
  3. ユーザーが初めて SSO でサインインする際、Logto は既存のメールアドレスを 自動リンク します。