跳到主要内容

企业单点登录 (SSO) 身份

企业单点登录 (SSO) 账户关联

新用户使用企业单点登录 (SSO) 登录

当新用户使用新的企业单点登录 (SSO) 身份注册时,Logto 会自动创建一个与该企业身份关联的新用户账户。primary emailnameavatar 会自动填充为 IdP 提供的数据。其他额外的用户资料数据将存储在用户的 SSO 身份资料下。

备注:

如果 SAML 属性映射 未正确配置或身份提供商未提供用户邮箱,资料关联情况可能会有所不同。

已有用户使用企业单点登录 (SSO) 登录

如果与企业单点登录 (SSO) 身份关联的工作邮箱与 Logto 中现有用户账户匹配,Logto 会自动将企业单点登录 (SSO) 身份关联到现有用户账户。

备注:

一旦某个邮箱域名与企业单点登录 (SSO) 连接器关联,所有使用该邮箱域名的现有用户将被限制只能通过企业单点登录 (SSO) 连接器登录。他们之前的登录方式将被阻止。例如:邮箱 / 密码、邮箱验证码和社交登录方式。

备注:

企业单点登录 (SSO) 用户也无法绑定或使用 密钥登录。他们的认证 (Authentication) 预计会保持在企业 IdP 流程内。

企业单点登录 (SSO) 的多因素认证 (MFA)

使用企业单点登录 (SSO) 时,多因素认证 (MFA) 要求通常由 IdP 管理。在 Logto 中,所有来自 IdP 的已认证 (Authentication) 身份都被视为可信,因此通过企业单点登录 (SSO) 登录的用户会跳过 MFA 验证,以提升用户体验。务必确保在 IdP 端已启用 MFA 保护。

删除企业连接器

当你从 Logto 删除企业连接器时:

  • 用户账户保留:用户账户不会被删除,只会移除与企业身份提供商的关联。
  • 用户下次登录:这些用户下次尝试登录时,将被提示使用其他方式,例如 Logto 配置的标准登录方式(如邮箱和密码)。如果他们之前未设置过密码,此时会引导他们创建密码。
  • 用户 SSO 身份资料删除:用户的 SSO 身份以及相关资料数据将从 Logto 中删除。