メインコンテンツまでスキップ

エンタープライズコネクター

Logto の シングルサインオン (SSO) ソリューションは、エンタープライズクライアント向けのアクセス管理を簡素化します。エンタープライズ SSO コネクターは、さまざまなエンタープライズクライアント向けに SSO を有効化するために不可欠です。

これらのコネクターは、サービスとエンタープライズのアイデンティティプロバイダー (IdP) 間の認証 (Authentication) プロセスを円滑にします。Logto は SP-initiated SSOIdP-initiated SSO の両方をサポートしており、組織メンバーが既存の会社の認証情報を使ってサービスへアクセスできるようにし、セキュリティと生産性を向上させます。

エンタープライズコネクター

Logto は、主要なエンタープライズアイデンティティプロバイダー向けのプリビルドコネクターを提供しており、迅速な統合が可能です。カスタム要件には、OpenID Connect (OIDC)SAML プロトコルによる統合もサポートしています。

エンタープライズコネクターのカスタマイズ

標準コネクターが要件を満たさない場合は、お気軽にお問い合わせください。

エンタープライズコネクターの設定

  1. 次の場所へ移動します:コンソール > エンタープライズ SSO
  2. 「エンタープライズコネクターを追加」ボタンをクリックし、コネクタータイプを選択します。
  3. 一意の名前を入力します(例:Acme Company 用 Okta)。
  4. 「接続」タブで IdP との接続を設定します。各コネクタータイプのガイドを上記でご確認ください。
  5. 「体験」タブで SSO 体験や メールドメイン をカスタマイズします。
  6. SAML エンタープライズコネクターの場合、「IdP-initiated SSO」タブで IdP-initiated SSO を有効化することもできます(任意)。ガイドを参照
  7. 変更を保存します。

以下の設定にご注意ください:

  • メールドメイン:ユーザーが入力したメールのドメインが、いずれかのエンタープライズ SSO コネクターの「エンタープライズメールドメイン」欄に含まれている場合、そのユーザーは該当する SSO コネクターのサインイン URL へリダイレクトされます。

    注記:

    SSO コネクターで関連するメールドメインを設定した後、そのドメインに属するメールでサインインするユーザーは SSO サインイン の利用が必須となります。

    つまり、SSO コネクターで設定されていないドメインのメールのみが「メール+認証コード」または「メール+パスワード」でサインインできます(これらのサインイン方法がサインアップとサインインで有効化されている場合)。

  • ユーザープロファイルの同期:ユーザープロファイル情報(例:アバター、名前)をいつ同期するか選択します。デフォルトは「初回サインイン時のみ同期」です。「毎回サインイン時に常に同期」も選択できますが、カスタムユーザーデータが上書きされる可能性があります。

  • トークン保存の有効化:OIDC エンタープライズコネクターでは、ユーザーがエンタープライズ IdP でサインインした際にアクセス トークン (Access token) およびリフレッシュ トークン (Refresh token) を Logto の Secret Vault に安全に保存するトークン保存を有効化できます。これにより、ユーザーが再認証することなく、アプリケーションがサードパーティ API へユーザーの代理でアクセスできます。詳細は フェデレーテッドトークン保存 をご覧ください。

  • 表示情報:コネクターの表示名やロゴをカスタマイズできます。同じメールドメインに複数のコネクターが紐付いている場合に便利です。ユーザーは IdP ログインページへリダイレクトされる前に、SSO コネクターボタンのリストから希望する IdP を選択します。

エンタープライズ SSO の有効化

  1. 次の場所へ移動します:コンソール > サインイン & アカウント > サインアップとサインイン
  2. 「エンタープライズ SSO」トグルを有効化します。
  3. 変更を保存します。

有効化すると、サインインページに「シングルサインオン」ボタンが表示されます。SSO 対応メールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダー (IdP) を使ってサービスへアクセスできます。SSO ユーザー体験の詳細は、ユーザーフロー:エンタープライズ SSO をご覧ください。

ジャストインタイムで組織へ

Logto では、ジャストインタイム (JIT) プロビジョニング により、ユーザーが初めてシステムへサインインした際に、組織メンバーシップやロールを自動で割り当てることができます。

Logto は、組織内で SSO コネクターの JIT プロビジョニングを設定するためのエントリーポイントを提供しています。詳細は リファレンス をご覧ください。

よくある質問

エンタープライズ SSO コネクター変更後の既存ユーザーへの影響は?

  • SSO の追加:メールが一致する場合、SSO アイデンティティが既存アカウントにリンクされます。
  • SSO の削除:アカウントにリンクされた SSO アイデンティティが削除されますが、ユーザーアカウント自体は保持され、代替認証方法の設定を促されます。
IdP-initiated SSO & SP-initiated SSO SAML vs. OpenID Connect SAML vs. SSO