Zum Hauptinhalt springen

SP-initiiertes SSO

SP-initiiertes SSO, die Standard- und sicherere Methode im Vergleich zu IdP-initiiertem SSO, ermöglicht es Unternehmenskunden, den SSO-Anmeldeprozess von der Logto-Anmeldeseite aus zu starten. Logto unterstützt sowohl E-Mail-Domain-Prompt-SSO als auch direkten Anmeldeparameter für SSO.

SP-initiiertes SSO einrichten

  1. Enterprise SSO aktivieren in deinem Identitätssystem

    Um Enterprise SSO zu aktivieren, navigiere zu Konsole > Anmeldung & Konto > Registrierung und Anmeldung und aktiviere die Einstellung „Enterprise SSO aktivieren“. Nach der Aktivierung erscheint ein „Single Sign-On“-Button auf deiner Anmeldeseite. Unternehmenskunden mit SSO-aktivierten E-Mail-Domains können über ihre Enterprise-Identitätsanbieter auf deine Dienste zugreifen.

  2. Enterprise-Connectors für verschiedene Kunden erstellen

    Als Nächstes musst du jeden Enterprise-Identitätsanbieter für deine Kunden integrieren. Ähnlich wie bei der sozialen Anmeldung erstellst du einen neuen Enterprise-Connector in Logto und konfigurierst die erforderlichen Einstellungen. Navigiere zu Konsole > Enterprise SSO, klicke auf den Button „Enterprise-Connector hinzufügen“ und folge den Anweisungen zur Einrichtung des Connectors. Siehe Enterprise SSO Connector Einrichtung.

  3. E-Mail-Domains für den Enterprise-Connector einrichten

    Enterprise SSO-Identitäten werden in der Regel durch eine Unternehmens-E-Mail-Domain erkannt. Im Tab „SSO-Erfahrung“ auf der Detailseite jedes Enterprise-Connectors kannst du die zugehörigen E-Mail-Domains angeben.

    Benutzer mit den angegebenen E-Mail-Domains können sich ausschließlich über diesen Enterprise SSO-Connector anmelden, während andere Anmeldemethoden – wie E-Mail-Bestätigungscodes, E-Mail-Passwort-Authentifizierung oder soziale Anmeldung – für diese Benutzer deaktiviert werden. Der SSO-Connector ist nur für Benutzer mit den angegebenen E-Mail-Domains sichtbar.

    hinweis:

    Öffentliche E-Mail-Domains (z. B. gmail.com, yahoo.com) können nicht mit einem Enterprise-Connector verknüpft werden.

SP-initiiertes SSO-Erlebnis

SSO wird aktiviert, wenn Benutzer versuchen, sich mit einer für SSO konfigurierten Unternehmens-E-Mail-Domain anzumelden. Dieser Prozess umgeht Standard-Verifizierungsmethoden wie Passwörter.

  1. Single Sign-On Button:

    Wenn die Enterprise SSO-Anmeldemethode aktiviert ist, erscheint ein „Single Sign-On“-Button als alternative Anmeldemöglichkeit auf der Anmeldeseite. Durch Klicken auf diesen Link werden Benutzer aufgefordert, ihre Unternehmens-E-Mail-Adresse einzugeben, um den SSO-Prozess zu starten.

    • Einzelner Connector: Ist nur ein Enterprise SSO-Connector mit der E-Mail-Domain des Benutzers verknüpft, wird der Benutzer direkt zur IdP-Anmeldeseite weitergeleitet.
    • Mehrere Connectoren: Sind mehrere Enterprise SSO-Connectoren mit der E-Mail-Domain des Benutzers verknüpft, wählt der Benutzer zunächst den gewünschten IdP aus einer Liste aus, bevor er zur IdP-Anmeldeseite weitergeleitet wird.
    Single sign-on button

  2. Universelle E-Mail-Anmeldung:

    Im universellen Identifikator-Anmeldeformular (mit aktivierter E-Mail-Anmeldemethode) ist die Erkennung von Enterprise SSO-E-Mail-Domains standardmäßig aktiviert. Wenn Benutzer ihre E-Mail-Adresse eingeben, erkennt Logto automatisch, ob ein Enterprise SSO-Connector mit dieser Domain verknüpft ist. Wird eine Übereinstimmung gefunden, aktualisiert sich das Standard-Anmeldeformular: Der „Anmelden“-Button ändert sich zu einem „Single Sign-On“-Button und beschränkt den Benutzer auf die Anmeldung mit dem/den Enterprise SSO-Connector(en).

    Universal email sign-in

FAQs

Kann ich Organisationsname / Domain anstelle der E-Mail-Domain verwenden, um zum IdP weiterzuleiten?

Derzeit unterstützt die von Logto vorgefertigte Anmeldeerfahrung nur E-Mail-Domain-Prompt-SSO, nicht Organisations-Domain-Prompt-SSO.

Du kannst eine eigene Routing-Seite auf Kundenseite erstellen und dabei die Authentifizierungsparameter mit directSignIn:'sso:{connectorId} verwenden. Diese Seite leitet große Unternehmenskunden anhand ihrer Organisationsdomain zum passenden IdP weiter. Erfahre mehr über den direkten Anmeldeparameter.

Kann ich einen bestimmten Enterprise-Connector-Button auf der Anmeldeseite anzeigen?

Verschiedene Unternehmenskunden verwenden unterschiedliche Identitätsanbieter zur Verwaltung ihrer Mitarbeiter und fordern unterschiedliche Berechtigungen (OIDC) oder Attribute (SAML) an. Daher wird nicht empfohlen, einen Enterprise-Connector-Button für einen bestimmten Kunden auf einer generischen Anmeldeseite anzuzeigen.

Wenn du jedoch ein B2E-Produkt entwickelst und einen Button für einen bestimmten Unternehmenskunden anzeigen möchtest, kannst du eine eigene Anmeldeseite erstellen und directSignIn:sso verwenden, um den Button entsprechend zu routen. Erfahre mehr über den direkten Anmeldeparameter.

Wie aktiviere ich SSO-Only-Anmeldung und -Registrierung?

Um SSO-Only-Anmeldung und -Registrierung zu aktivieren, folge diesen Schritten:

  1. Konfiguriere in Konsole > Anmeldung & Konto > Registrierung und Anmeldung
    • Registrierung: Nicht anwendbar
    • Anmeldung: Keine
    • Soziale Anmeldung: Keine
    • Enterprise SSO: Aktiviert
    • Benutzerregistrierung: Deaktiviert
  2. Füge Benutzer manuell hinzu, indem du ihre Unternehmens-E-Mail-Adresse in Konsole > Benutzerverwaltung eingibst oder importiere sie über die Management API.
  3. Wenn sich Benutzer zum ersten Mal über SSO anmelden, wird Logto ihre bestehende E-Mail-Adresse automatisch mit ihrem SSO-Konto verknüpfen.