SP 發起的單一登入 (SP-initiated SSO)
SP 發起的單一登入 (SP-initiated SSO) 是預設且比 IdP 發起的單一登入 (IdP-initiated SSO) 更安全的方法,允許企業用戶從 Logto 登入頁面啟動 SSO 登入流程。Logto 支援 電子郵件網域提示 SSO 以及 直接登入參數 SSO。
企業 SSO 用戶不支援綁定或使用 通行密鑰登入 (passkey sign-in)。
設定 SP 發起的單一登入 (SP-initiated SSO)
-
啟用企業級單一登入 (Enterprise SSO)
若要啟用企業級單一登入,請前往 主控台 Console > 登入與帳號 > 註冊與登入,並切換「啟用企業級單一登入」設定。啟用後,登入頁面將出現「單一登入 (Single Sign-On)」按鈕。擁有啟用 SSO 的電子郵件網域的企業用戶可透過其企業身分提供者存取你的服務。
-
為不同客戶建立企業連接器 (Enterprise connectors)
接著,你需要為每個企業客戶整合其身分提供者。類似社交登入,請在 Logto 中建立新的企業連接器並完成必要設定。前往 主控台 Console > 企業級單一登入,點擊「新增企業連接器」按鈕,並依指示完成設定。詳情請參考 企業 SSO 連接器設定。
-
為企業連接器設定電子郵件網域
企業 SSO 身分通常以公司電子郵件網域識別。在每個企業連接器詳細頁的 SSO 體驗 (SSO Experience) 分頁中,你可以指定對應的電子郵件網域。
擁有指定電子郵件網域的用戶將僅能透過此企業 SSO 連接器登入,其他登入方式(如電子郵件驗證碼、電子郵件密碼驗證或社交登入)將對這些用戶停用。此 SSO 連接器僅對擁有指定電子郵件網域的用戶顯示。
備註:公用電子郵件網域(如 gmail.com、yahoo.com)無法綁定至企業連接器。
SP 發起的單一登入體驗 (SP-initiated SSO experience)
當用戶嘗試以已設定 SSO 的企業電子郵件網域登入時,將啟動 SSO,並略過密碼等標準驗證方式。
-
單一登入按鈕 (Single sign-on button):
啟用企業 SSO 登入方式後,登入頁面會出現「單一登入 (Single Sign-On)」按鈕作為替代登入選項。點擊此連結後,用戶需輸入企業電子郵件地址以啟動 SSO 流程。
- 單一連接器:若用戶電子郵件網域僅綁定一個企業 SSO 連接器,將直接導向 IdP 登入頁。
- 多個連接器:若用戶電子郵件網域綁定多個企業 SSO 連接器,將先顯示 IdP 選單,讓用戶選擇後再導向 IdP 登入頁。
-
通用電子郵件登入 (Universal email sign-in):
在通用識別符登入表單(啟用電子郵件登入方式)中,企業 SSO 電子郵件網域偵測預設啟用。當用戶輸入電子郵件地址時,Logto 會自動判斷該網域是否綁定企業 SSO 連接器。若有符合,預設登入表單將更新:「登入 (Sign in)」按鈕變為「單一登入 (Single Sign-On)」按鈕,僅允許用戶透過企業 SSO 連接器登入。
常見問題 (FAQs)
我可以用組織名稱 / 網域取代電子郵件網域來導向 IdP 嗎?
目前,Logto 預設登入體驗僅支援 電子郵件網域提示 SSO,不支援 組織網域提示 SSO。
你可以在客戶端自訂導向頁,搭配 directSignIn:'sso:{connectorId} 驗證參數。此頁可根據組織網域將大型企業客戶導向對應的 IdP。詳情請參考 直接登入參數。
我可以在登入頁顯示特定企業連接器按鈕嗎?
不同企業客戶會使用不同身分提供者管理員工,並要求不同權限範圍(OIDC)或屬性(SAML)。因此,不建議在通用登入頁顯示僅供特定客戶使用的企業連接器按鈕。
但若你開發的是 B2E 產品,且希望為特定企業客戶顯示按鈕,可自訂登入頁並使用 directSignIn:sso 進行導向。詳情請參考 直接登入參數。
如何啟用僅限 SSO 的登入與註冊?
若要啟用僅限 SSO 的登入與註冊,請依下列步驟操作:
- 在 主控台 Console > 登入與帳號 > 註冊與登入 設定
- 註冊:不適用
- 登入:無
- 社交登入:無
- 企業級單一登入:啟用
- 使用者註冊:停用
- 於 主控台 Console > 使用者管理 手動新增用戶(輸入其企業電子郵件地址),或透過 Management API 匯入。
- 用戶首次透過 SSO 登入時,Logto 會 自動綁定 其現有電子郵件地址與 SSO 帳號。