管理组织 (Organization)
本节介绍开发者如何通过 Logto 控制台或 Logto Management API 管理他们的组织 (Organization),而不是组织 (Organization) 管理员如何在你的应用内自助管理成员。要了解如何开发你的组织 (Organization) 体验,请查阅本指南。
通过 Logto 控制台管理
创建组织 (Organization)
导航到 控制台 > 组织 (Organizations) 并点击“创建组织 (Organization)”按钮。
基本设置
你可以配置组织 (Organization) 的基本属性,如名称、描述、Logo 等。
要求组织 (Organization) 成员启用 MFA
你可以要求组织 (Organization) 的所有成员启用多因素认证 (MFA)。这是一个安全措施,确保所有成员在访问组织 (Organization) 资源时有额外的保护层。
要启用此功能,请进入组织 (Organization) 详情页并打开“多因素认证 (MFA)”开关。
你需要至少启用一种 MFA 方式才能使此功能正常工作。
启用后,未配置 MFA 的成员在设置 MFA 之前将无法交换组织令牌。关于组织令牌何时被交换的更多细节,请参见授权 (Authorization)。
请注意:
- 此功能仅检查用户是否已配置 MFA,不会强制用户在交换访问令牌时使用 MFA。
- 此功能不限制用户可以使用哪些 MFA 方式。
即时 (Just-in-Time) 供应
即时 (Just-in-Time) 供应 会在用户首次登录应用时自动将其添加到组织 (Organization)。在 Logto 中,这对企业单点登录 (SSO) 和基于邮箱域的供应均支持。当用户满足特定条件(如通过特定企业 IdP 登录或使用特定域名的邮箱登录)时,会自动被加入组织 (Organization)。
你还可以为首次加入组织 (Organization) 的成员设置默认组织角色 (Role)。
关于即时 (Just-in-Time) 供应的更多细节及设置方法,请参考本节。
管理组织 (Organization) 成员
用户可以拥有一个或多个角色 (Role)。添加成员到组织 (Organization) 时,你可以为多个用户分配角色 (Role)。如果不分配,新增用户将不会获得任何角色 (Role)。
在 控制台 > 用户管理 > 用户详情页,你可以看到该用户属于哪些组织 (Organization) 以及拥有的组织角色 (Role)。
管理组织 (Organization) M2M 应用程序
机器对机器 (M2M) 应用程序也可以被添加到组织 (Organization)。你可以像为用户分配角色 (Role) 一样,为机器对机器 (M2M) 应用程序分配角色 (Role)。
在 控制台 > 应用程序 > 应用详情页,你可以看到该应用关联了哪些组织 (Organization) 以及拥有的组织角色 (Role)。
通过 Logto Management API 管理
你在 Logto 控制台能做的所有操作,也都可以通过 Management API 完成,包括但不限于:
- 创建、删除或编辑组织 (Organization)。
- 管理组织 (Organization) 模板:创建、删除或编辑组织权限 (Permission) 和角色 (Role)。
- 向组织 (Organization) 添加或移除成员。
- 分配或移除用户的组织角色 (Role)。
- 向组织 (Organization) 添加或移除机器对机器 (M2M) 应用程序。
- 分配或移除机器对机器 (M2M) 应用程序的组织角色 (Role)。
你还可以查阅本节,了解如何使用 Management API 实现更多组织 (Organization) 级体验和管理。了解更多
完整能力列表请参考我们的 API 参考文档。