Pular para o conteúdo principal

SSO iniciado pelo SP

O SSO iniciado pelo SP, método padrão e mais seguro do que o SSO iniciado pelo IdP, permite que usuários corporativos iniciem o processo de login SSO a partir da página de login do Logto. O Logto suporta tanto o SSO por prompt de domínio de email quanto o parâmetro de login direto para SSO.

nota:

Usuários de SSO corporativo (Enterprise SSO) não suportam vinculação ou uso de login com passkey.

Configurar SSO iniciado pelo SP

  1. Ative o SSO corporativo (Enterprise SSO) no seu sistema de identidade

    Para ativar o SSO corporativo, navegue até Console > Login & conta > Cadastro e login e ative a configuração "Ativar SSO corporativo". Uma vez ativado, um botão "Single Sign-On" aparecerá na sua página de login. Usuários corporativos com domínios de email habilitados para SSO poderão acessar seus serviços via seus provedores de identidade corporativos.

  2. Crie conectores corporativos para diferentes clientes

    Em seguida, você precisa integrar cada provedor de identidade corporativo para seus clientes. Semelhante ao login social, crie um novo conector corporativo no Logto e configure as definições necessárias. Navegue até Console > SSO corporativo, clique no botão "Adicionar conector corporativo" e siga as instruções para configurar o conector. Consulte a configuração do conector de SSO corporativo.

  3. Configure domínios de email para o conector corporativo

    Identidades de SSO corporativo geralmente são reconhecidas por um domínio de email da empresa. Na aba SSO Experience da página de detalhes de cada conector corporativo, você pode especificar os domínios de email associados.

    Usuários com os domínios de email especificados serão restritos a fazer login exclusivamente através deste conector de SSO corporativo, enquanto outros métodos de login—como códigos de verificação por email, autenticação por email e senha ou login social—serão desabilitados para esses usuários. O conector de SSO será visível apenas para usuários com os domínios de email especificados.

    nota:

    Domínios de email públicos (por exemplo, gmail.com, yahoo.com) não podem ser vinculados a um conector corporativo.

Experiência de SSO iniciado pelo SP

O SSO é ativado quando os usuários tentam fazer login usando um domínio de email corporativo configurado para SSO. Esse processo ignora métodos de verificação padrão como senhas.

  1. Botão de autenticação única (Single sign-on):

    Quando o método de login SSO corporativo está ativado, um botão "Single Sign-On" aparecerá como uma opção alternativa de login na página de login. Ao clicar neste link, os usuários são solicitados a inserir seu endereço de email corporativo para iniciar o processo de SSO.

    • Conector único: Se apenas um conector de SSO corporativo estiver associado ao domínio de email do usuário, ele será redirecionado diretamente para a página de login do IdP.
    • Múltiplos conectores: Se vários conectores de SSO corporativo estiverem associados ao domínio de email do usuário, o usuário deverá primeiro selecionar o IdP desejado em uma lista antes de ser redirecionado para a página de login do IdP.
    Botão de autenticação única

  2. Login universal por email:

    No formulário de login por identificador universal (com método de login por email ativado), a detecção de domínio de email de SSO corporativo está ativada por padrão. Quando os usuários inserem seu endereço de email, o Logto identifica automaticamente se um conector de SSO corporativo está associado àquele domínio. Se houver correspondência, o formulário de login padrão é atualizado: o botão "Entrar" muda para "Single Sign-On", restringindo o usuário a fazer login apenas com o(s) conector(es) de SSO corporativo.

    Login universal por email

Perguntas frequentes (FAQs)

Posso usar Nome/Domínio da Organização em vez de Domínio de Email para redirecionar ao IdP?

Atualmente, a experiência de login pré-construída do Logto suporta apenas SSO por prompt de domínio de email, não SSO por prompt de domínio da organização.

Você pode criar uma página de roteamento personalizada no seu lado cliente usando os parâmetros de autenticação com directSignIn:'sso:{connectorId}. Essa página redirecionará grandes clientes corporativos para o IdP apropriado com base no domínio da organização. Saiba mais sobre o parâmetro de login direto.

Posso exibir um botão de Conector Corporativo específico na página de login?

Diferentes clientes corporativos usam diferentes provedores de identidade para gerenciar seus funcionários e solicitam diferentes escopos (OIDC) ou atributos (SAML). Portanto, não é recomendado exibir um botão de conector corporativo destinado a um cliente específico em uma página de login genérica.

No entanto, se você estiver desenvolvendo um produto B2E e quiser mostrar um botão para um cliente corporativo específico, pode criar uma página de login personalizada e usar directSignIn:sso para rotear o botão adequadamente. Saiba mais sobre o parâmetro de login direto.

Como habilitar login e cadastro apenas por SSO?

Para habilitar login e cadastro apenas por SSO, siga estes passos:

  1. Configure em Console > Login & conta > Cadastro e login
    • Cadastro: Não aplicável
    • Login: Nenhum
    • Login social: Nenhum
    • SSO corporativo: Ativado
    • Registro de usuário: Desativado
  2. Adicione usuários manualmente inserindo o endereço de email corporativo em Console > Gerenciamento de usuários ou importe via Management API.
  3. Quando os usuários fizerem login via SSO pela primeira vez, o Logto irá vincular automaticamente o endereço de email existente à conta SSO deles.