メインコンテンツまでスキップ

SP-initiated SSO

SP-initiated SSO は、IdP-initiated SSO よりもデフォルトかつより安全な方法であり、エンタープライズユーザーが Logto のサインインページから SSO ログインプロセスを開始できます。Logto は メールドメインプロンプト SSOSSO 用のダイレクトサインインパラメーター の両方をサポートしています。

SP-initiated SSO の設定方法

  1. エンタープライズシングルサインオン (SSO) を有効化する

    エンタープライズシングルサインオン (SSO) を有効にするには、コンソール > サインイン & アカウント > サインアップとサインイン に移動し、「エンタープライズ SSO を有効にする」設定をオンにします。有効化すると、サインインページに「シングルサインオン」ボタンが表示されます。SSO が有効なメールドメインを持つエンタープライズユーザーは、エンタープライズアイデンティティプロバイダー経由でサービスにアクセスできます。

  2. 各クライアント用にエンタープライズコネクターを作成する

    次に、各クライアントのエンタープライズアイデンティティプロバイダーを統合する必要があります。ソーシャルサインインと同様に、Logto で新しいエンタープライズコネクターを作成し、必要な設定を構成します。コンソール > エンタープライズ SSO に移動し、「エンタープライズコネクターを追加」ボタンをクリックし、手順に従ってコネクターを設定してください。エンタープライズ SSO コネクターのセットアップ を参照してください。

  3. エンタープライズコネクターにメールドメインを設定する

    エンタープライズ SSO のアイデンティティは、通常、会社のメールドメインによって認識されます。各エンタープライズコネクターの詳細ページの SSO 体験タブで、関連付けるメールドメインを指定できます。

    指定したメールドメインを持つユーザーは、このエンタープライズ SSO コネクターを通じてのみサインインできるようになり、他のサインイン方法(メール認証コード、メールパスワード認証、ソーシャルログインなど)は無効化されます。SSO コネクターは、指定したメールドメインを持つユーザーのみに表示されます。

    注記:

    パブリックメールドメイン(例: gmail.com、yahoo.com)はエンタープライズコネクターに紐付けできません。

SP-initiated SSO 体験

ユーザーが SSO 用に設定されたエンタープライズメールドメインでサインインしようとすると、SSO が有効化されます。このプロセスでは、パスワードなどの標準的な認証方法をスキップします。

  1. シングルサインオンボタン

    エンタープライズ SSO サインイン方法が有効化されると、サインインページに「シングルサインオン」ボタンが代替サインインオプションとして表示されます。このリンクをクリックすると、ユーザーはエンタープライズメールアドレスの入力を求められ、SSO プロセスが開始されます。

    • コネクターが 1 つの場合:ユーザーのメールドメインに 1 つのエンタープライズ SSO コネクターのみが紐付いている場合、ユーザーは直接 IdP のログインページにリダイレクトされます。
    • コネクターが複数の場合:ユーザーのメールドメインに複数のエンタープライズ SSO コネクターが紐付いている場合、ユーザーはまずリストから希望する IdP を選択し、その後 IdP のログインページにリダイレクトされます。
    Single sign-on button

  2. ユニバーサルメールサインイン

    ユニバーサル識別子サインインフォーム(メールサインイン方法が有効な場合)では、エンタープライズ SSO メールドメインの検出がデフォルトで有効になっています。ユーザーがメールアドレスを入力すると、Logto はそのドメインにエンタープライズ SSO コネクターが紐付いているか自動的に判別します。一致が見つかった場合、デフォルトのサインインフォームが更新され、「サインイン」ボタンが「シングルサインオン」ボタンに変わり、ユーザーはエンタープライズ SSO コネクターでのみサインインできるようになります。

    Universal email sign-in

よくある質問

メールドメインの代わりに組織名 / ドメインで IdP へリダイレクトできますか?

現在、Logto の組み込みサインイン体験は メールドメインプロンプト SSO のみをサポートしており、組織ドメインプロンプト SSO には対応していません。

クライアント側で認証パラメーター directSignIn:'sso:{connectorId} を使ってカスタムルーティングページを作成できます。このページで、組織ドメインに基づき大規模エンタープライズクライアントを適切な IdP へリダイレクトできます。ダイレクトサインインパラメーター について詳しくはこちら。

サインインページに特定のエンタープライズコネクターボタンを表示できますか?

異なるエンタープライズクライアントは、従業員管理のために異なるアイデンティティプロバイダーを利用し、要求するスコープ(OIDC)や属性(SAML)も異なります。そのため、特定クライアント向けのエンタープライズコネクターボタンを汎用サインインページに表示することは推奨されません。

ただし、B2E 製品を開発しており、特定のエンタープライズクライアント向けにボタンを表示したい場合は、カスタムログインページを作成し、directSignIn:sso を使って適切にルーティングできます。ダイレクトサインインパラメーター について詳しくはこちら。

SSO のみのサインインと登録を有効にする方法は?

SSO のみのサインインと登録を有効にするには、以下の手順を実施してください:

  1. コンソール > サインイン & アカウント > サインアップとサインイン

     で設定 - サインアップ:該当なし - サインイン:なし - ソーシャルサインイン:なし - エンタープライズ SSO:有効 - ユーザー登録:無効
  2. コンソール > ユーザー管理 でエンタープライズメールアドレスを入力して手動でユーザーを追加するか、Management API でインポートします。
  3. ユーザーが初めて SSO でサインインする際、Logto は既存のメールアドレスを 自動リンク します。