SSO iniciado por el SP
El SSO iniciado por el SP, el método predeterminado y más seguro que el SSO iniciado por el IdP, permite a los usuarios empresariales iniciar el proceso de inicio de sesión SSO desde la página de inicio de sesión de Logto. Logto admite tanto el SSO por dominio de correo electrónico como el parámetro de inicio de sesión directo para SSO.
Configurar SSO iniciado por el SP
-
Habilita el SSO empresarial en tu sistema de identidad
Para activar el SSO empresarial, navega a Consola > Inicio de sesión y cuenta > Registro e inicio de sesión y activa la opción "Habilitar SSO empresarial". Una vez habilitado, aparecerá un botón de "Inicio de sesión único" en tu página de inicio de sesión. Los usuarios empresariales con dominios de correo electrónico habilitados para SSO podrán acceder a tus servicios a través de sus proveedores de identidad empresariales.
-
Crea conectores empresariales para diferentes clientes
A continuación, necesitas integrar cada proveedor de identidad empresarial para tus clientes. De manera similar al inicio de sesión social, crea un nuevo conector empresarial en Logto y configura los ajustes requeridos. Navega a Consola > SSO empresarial, haz clic en el botón "Agregar conector empresarial" y sigue las instrucciones para configurar el conector. Consulta la configuración del conector SSO empresarial.
-
Configura los dominios de correo electrónico para el conector empresarial
Las identidades SSO empresariales suelen reconocerse por el dominio de correo electrónico de la empresa. En la pestaña Experiencia SSO de la página de detalles de cada conector empresarial, puedes especificar los dominios de correo electrónico asociados.
Los usuarios con los dominios de correo electrónico especificados estarán restringidos a iniciar sesión exclusivamente a través de este conector SSO empresarial, mientras que otros métodos de inicio de sesión—como códigos de verificación por correo electrónico, autenticación por correo electrónico y contraseña, o inicio de sesión social—se deshabilitarán para estos usuarios. El conector SSO solo será visible para los usuarios con los dominios de correo electrónico especificados.
nota:Los dominios de correo electrónico públicos (por ejemplo, gmail.com, yahoo.com) no pueden vincularse a un conector empresarial.
Experiencia de SSO iniciado por el SP
El SSO se activa cuando los usuarios intentan iniciar sesión utilizando un dominio de correo electrónico empresarial configurado para SSO. Este proceso omite los métodos de verificación estándar como contraseñas.
-
Botón de inicio de sesión único:
Cuando el método de inicio de sesión SSO empresarial está habilitado, aparecerá un botón de "Inicio de sesión único" como opción alternativa en la página de inicio de sesión. Al hacer clic en este enlace, se solicita a los usuarios que ingresen su dirección de correo electrónico empresarial para iniciar el proceso SSO.
- Un solo conector: Si solo hay un conector SSO empresarial asociado con el dominio de correo electrónico del usuario, este será redirigido directamente a la página de inicio de sesión del IdP.
- Varios conectores: Si hay varios conectores SSO empresariales asociados con el dominio de correo electrónico del usuario, primero deberá seleccionar el IdP deseado de una lista antes de ser redirigido a la página de inicio de sesión del IdP.
-
Inicio de sesión universal por correo electrónico:
En el formulario de inicio de sesión por identificador universal (con el método de inicio de sesión por correo electrónico habilitado), la detección de dominio de correo electrónico SSO empresarial está habilitada por defecto. Cuando los usuarios ingresan su dirección de correo electrónico, Logto identifica automáticamente si hay un conector SSO empresarial asociado con ese dominio. Si se encuentra una coincidencia, el formulario de inicio de sesión predeterminado se actualiza: el botón "Iniciar sesión" cambia a "Inicio de sesión único", restringiendo al usuario a iniciar sesión solo con el/los conector(es) SSO empresarial(es).
Preguntas frecuentes
¿Puedo usar el nombre/dominio de la organización en lugar del dominio de correo electrónico para redirigir al IdP?
Actualmente, la experiencia de inicio de sesión preconstruida de Logto solo admite SSO por dominio de correo electrónico, no SSO por dominio de organización.
Puedes crear una página de enrutamiento personalizada en tu lado cliente utilizando los parámetros de autenticación con directSignIn:'sso:{connectorId}. Esta página redirigirá a los grandes clientes empresariales al IdP correspondiente según el dominio de su organización. Aprende más sobre el parámetro de inicio de sesión directo.
¿Puedo mostrar un botón de conector empresarial específico en la página de inicio de sesión?
Diferentes clientes empresariales utilizan distintos proveedores de identidad para gestionar a sus empleados y solicitan diferentes alcances (OIDC) o atributos (SAML). Por lo tanto, no se recomienda mostrar un botón de conector empresarial destinado a un cliente específico en una página de inicio de sesión genérica.
Sin embargo, si estás desarrollando un producto B2E y deseas mostrar un botón para un cliente empresarial específico, puedes crear una página de inicio de sesión personalizada y usar directSignIn:sso para enrutar el botón adecuadamente. Aprende más sobre el parámetro de inicio de sesión directo.
¿Cómo habilitar solo el inicio de sesión y registro por SSO?
Para habilitar solo el inicio de sesión y registro por SSO, sigue estos pasos:
- Configura en Consola > Inicio de sesión y cuenta > Registro e inicio de sesión
- Registro: No aplicable
- Inicio de sesión: Ninguno
- Inicio de sesión social: Ninguno
- SSO empresarial: Habilitado
- Registro de usuario: Deshabilitado
- Agrega usuarios manualmente ingresando su dirección de correo electrónico empresarial en Consola > Gestión de usuarios o impórtalos mediante la Management API.
- Cuando los usuarios inicien sesión por SSO por primera vez, Logto vinculará automáticamente su dirección de correo electrónico existente a su cuenta SSO.