企业连接器
Logto 的 单点登录 (SSO) 方案 简化了企业客户的访问管理。企业 SSO 连接器对于为不同企业客户启用 SSO 至关重要。
这些连接器促进了你的服务与企业身份提供商 (IdP) 之间的认证 (Authentication) 过程。Logto 支持 SP 发起的 SSO 和 IdP 发起的 SSO,允许组织成员使用其现有的公司凭据访问你的服务,从而提升安全性和生产力。
企业连接器
Logto 为主流企业身份提供商提供了预构建的连接器,便于快速集成。如有自定义需求,我们支持通过 OpenID Connect (OIDC) 和 SAML 协议集成。
主流企业连接器
自定义你的企业连接器
如果我们的标准连接器无法满足你的特定需求,欢迎随时联系我们。
配置企业连接器
- 进入:控制台 > 企业 SSO。
- 点击“添加企业连接器”按钮并选择连接器类型。
- 填写唯一名称(例如:Acme 公司用 Okta)。
- 在“连接”标签页中配置与 IdP 的连接。可参考上方各连接器类型的指南。
- 在“体验”标签页自定义 SSO 体验和邮箱域名。
- 对于 SAML 企业连接器,可在“IdP 发起的 SSO”标签页选择性启用 IdP 发起的 SSO。参考指南 获取详情。
- 保存更改。
请注意以下设置:
-
邮箱域名:如果用户输入的邮箱的域名在某些企业 SSO 连接器的“企业邮箱域名”字段中,用户将被重定向到该 SSO 连接器对应的登录地址。
备注:需要注意的是,在 SSO 连接器中配置相关邮箱域名后,属于这些域名的邮箱用户登录时将被强制使用 SSO 登录。
换句话说,只有未在 SSO 连接器中配置的域名邮箱,才可以使用“邮箱 + 验证码”或“邮箱 + 密码”登录(前提是登录体验中已启用这两种登录方式)。
-
同步用户资料:选择何时同步用户资料信息(如头像、姓名)。默认行为为“仅首次登录时同步”。“每次登录时都同步”也是可选项,但可能导致自定义用户数据被覆盖。
-
显示信息:可选,自定义连接器的显示名称和 Logo。当多个连接器关联同一邮箱域名时非常有用。用户会在被重定向到 IdP 登录页前,从 SSO 连接器按钮列表中选择所需的 IdP。
启用企业 SSO
- 进入:控制台 > 登录体验 > 注册与登录。
- 启用“企业 SSO”开关。
- 保存更改。
启用后,你的登录页面会出现“单点登录 (Single Sign-On)”按钮。拥有 SSO 启用邮箱域名的企业用户可通过其企业身份提供商 (IdP) 访问你的服务。了解更多 SSO 用户体验,请参考用户流程:企业 SSO。
即时加入组织
在 Logto 中,即时 (JIT) 供应 是一种在用户首次登录系统时,自动为其分配组织成员身份和角色的流程。
Logto 提供了在组织内配置 SSO 连接器 JIT 供应的入口,详见参考文档。
常见问题
更改企业 SSO 连接器后对现有用户有何影响?
- 添加 SSO:如果邮箱匹配,SSO 身份将与现有账户关联。
- 移除 SSO:会移除账户关联的 SSO 身份,但保留用户账户,并提示用户设置其他验证方式。