Aller au contenu principal

SSO initié par le SP

Le SSO initié par le SP, la méthode par défaut et plus sécurisée que le SSO initié par l’IdP, permet aux utilisateurs d’entreprise d’initier le processus de connexion SSO depuis la page de connexion Logto. Logto prend en charge à la fois le SSO par saisie du domaine email et le paramètre de connexion directe pour le SSO.

Configurer le SSO initié par le SP

  1. Activez le SSO d’entreprise dans votre système d’identité

    Pour activer le SSO d’entreprise, accédez à Console > Connexion & compte > Inscription et connexion et activez l’option "Activer le SSO d’entreprise". Une fois activée, un bouton "Authentification unique (SSO)" apparaîtra sur votre page de connexion. Les utilisateurs d’entreprise avec des domaines email compatibles SSO pourront accéder à vos services via leur fournisseur d’identité d’entreprise.

  2. Créez des connecteurs d’entreprise pour différents clients

    Ensuite, vous devez intégrer chaque fournisseur d’identité d’entreprise pour vos clients. Comme pour la connexion sociale, créez un nouveau connecteur d’entreprise dans Logto et configurez les paramètres requis. Rendez-vous dans Console > SSO d’entreprise, cliquez sur le bouton "Ajouter un connecteur d’entreprise" et suivez les instructions pour configurer le connecteur. Consultez la configuration du connecteur SSO d’entreprise.

  3. Configurez les domaines email pour le connecteur d’entreprise

    Les identités SSO d’entreprise sont généralement reconnues par un domaine email d’entreprise. Dans l’onglet Expérience SSO de la page de détails de chaque connecteur d’entreprise, vous pouvez spécifier les domaines email associés.

    Les utilisateurs avec les domaines email spécifiés seront limités à la connexion exclusivement via ce connecteur SSO d’entreprise, tandis que les autres méthodes de connexion — telles que les codes de vérification par email, l’authentification email-mot de passe ou la connexion sociale — seront désactivées pour ces utilisateurs. Le connecteur SSO sera visible uniquement pour les utilisateurs ayant les domaines email spécifiés.

    remarque:

    Les domaines email publics (par exemple, gmail.com, yahoo.com) ne peuvent pas être liés à un connecteur d’entreprise.

Expérience SSO initié par le SP

Le SSO est activé lorsque les utilisateurs tentent de se connecter avec un domaine email d’entreprise configuré pour le SSO. Ce processus contourne les méthodes de vérification standard comme les mots de passe.

  1. Bouton d’authentification unique (SSO) :

    Lorsque la méthode de connexion SSO d’entreprise est activée, un bouton "Authentification unique (SSO)" apparaîtra comme option alternative sur la page de connexion. En cliquant sur ce lien, les utilisateurs sont invités à saisir leur adresse email d’entreprise pour initier le processus SSO.

    • Connecteur unique : Si un seul connecteur SSO d’entreprise est associé au domaine email de l’utilisateur, celui-ci est redirigé directement vers la page de connexion de l’IdP.
    • Connecteurs multiples : Si plusieurs connecteurs SSO d’entreprise sont associés au domaine email de l’utilisateur, celui-ci devra d’abord sélectionner l’IdP souhaité dans une liste avant d’être redirigé vers la page de connexion de l’IdP.
    Bouton d’authentification unique (SSO)

  2. Connexion universelle par email :

    Dans le formulaire de connexion par identifiant universel (avec la méthode de connexion par email activée), la détection du domaine email SSO d’entreprise est activée par défaut. Lorsque les utilisateurs saisissent leur adresse email, Logto identifie automatiquement si un connecteur SSO d’entreprise est associé à ce domaine. Si une correspondance est trouvée, le formulaire de connexion par défaut est mis à jour : le bouton "Se connecter" devient un bouton "Authentification unique (SSO)", limitant l’utilisateur à la connexion via le(s) connecteur(s) SSO d’entreprise.

    Connexion universelle par email

FAQ

Puis-je utiliser le nom / domaine de l’organisation au lieu du domaine email pour rediriger vers l’IdP ?

Actuellement, l’expérience de connexion préconstruite de Logto prend uniquement en charge le SSO par saisie du domaine email, et non le SSO par saisie du domaine d’organisation.

Vous pouvez créer une page de routage personnalisée côté client en utilisant les paramètres d’authentification avec directSignIn:'sso:{connectorId}. Cette page redirigera les grands clients d’entreprise vers l’IdP approprié en fonction de leur domaine d’organisation. En savoir plus sur le paramètre de connexion directe.

Puis-je afficher un bouton de connecteur d’entreprise spécifique sur la page de connexion ?

Différents clients d’entreprise utilisent différents fournisseurs d’identité pour gérer leurs employés, et demandent différentes portées (OIDC) ou attributs (SAML). Par conséquent, il n’est pas recommandé d’afficher un bouton de connecteur d’entreprise destiné à un client spécifique sur une page de connexion générique.

Cependant, si vous développez un produit B2E et souhaitez afficher un bouton pour un client d’entreprise spécifique, vous pouvez créer une page de connexion personnalisée et utiliser directSignIn:sso pour router le bouton de manière appropriée. En savoir plus sur le paramètre de connexion directe.

Comment activer la connexion et l’inscription uniquement via SSO ?

Pour activer la connexion et l’inscription uniquement via SSO, suivez ces étapes :

  1. Configurez dans Console > Connexion & compte > Inscription et connexion
    • Inscription : Non applicable
    • Connexion : Aucune
    • Connexion sociale : Aucune
    • SSO d’entreprise : Activé
    • Inscription utilisateur : Désactivée
  2. Ajoutez manuellement les utilisateurs en saisissant leur adresse email d’entreprise dans Console > Gestion des utilisateurs ou importez-les via la Management API.
  3. Lorsque les utilisateurs se connectent via SSO pour la première fois, Logto lier automatiquement leur adresse email existante à leur compte SSO.