Pular para o conteúdo principal

SSO iniciado pelo SP

O SSO iniciado pelo SP, método padrão e mais seguro do que o SSO iniciado pelo IdP, permite que usuários corporativos iniciem o processo de login SSO a partir da página de login do Logto. O Logto suporta tanto o SSO por sugestão de domínio de e-mail quanto o parâmetro de login direto para SSO.

Configurar SSO iniciado pelo SP

  1. Ative o SSO corporativo (Enterprise SSO) no seu sistema de identidade

    Para ativar o SSO corporativo, navegue até Console > Login & conta > Cadastro e login e ative a configuração "Ativar SSO corporativo". Uma vez ativado, um botão "Single Sign-On" aparecerá na sua página de login. Usuários corporativos com domínios de e-mail habilitados para SSO poderão acessar seus serviços via seus provedores de identidade corporativos.

  2. Crie conectores corporativos para diferentes clientes

    Em seguida, você precisa integrar cada provedor de identidade corporativo para seus clientes. Semelhante ao login social, crie um novo conector corporativo no Logto e configure as definições necessárias. Navegue até Console > SSO corporativo, clique no botão "Adicionar conector corporativo" e siga as instruções para configurar o conector. Consulte a configuração de conectores SSO corporativos.

  3. Configure domínios de e-mail para o conector corporativo

    Identidades SSO corporativas geralmente são reconhecidas por um domínio de e-mail da empresa. Na aba de Experiência SSO da página de detalhes de cada conector corporativo, você pode especificar os domínios de e-mail associados.

    Usuários com os domínios de e-mail especificados serão restritos a fazer login exclusivamente por meio deste conector SSO corporativo, enquanto outros métodos de login—como códigos de verificação por e-mail, autenticação por e-mail e senha ou login social—serão desabilitados para esses usuários. O conector SSO será visível apenas para usuários com os domínios de e-mail especificados.

    nota:

    Domínios de e-mail públicos (por exemplo, gmail.com, yahoo.com) não podem ser vinculados a um conector corporativo.

Experiência do SSO iniciado pelo SP

O SSO é ativado quando os usuários tentam fazer login usando um domínio de e-mail corporativo configurado para SSO. Esse processo ignora métodos de verificação padrão como senhas.

  1. Botão de autenticação única (Single sign-on):

    Quando o método de login SSO corporativo está ativado, um botão "Single Sign-On" aparecerá como uma opção alternativa de login na página de login. Ao clicar neste link, os usuários são solicitados a inserir seu endereço de e-mail corporativo para iniciar o processo de SSO.

    • Conector único: Se apenas um conector SSO corporativo estiver associado ao domínio de e-mail do usuário, ele será redirecionado diretamente para a página de login do IdP.
    • Múltiplos conectores: Se vários conectores SSO corporativos estiverem associados ao domínio de e-mail do usuário, o usuário deverá primeiro selecionar o IdP desejado em uma lista antes de ser redirecionado para a página de login do IdP.
    Botão de autenticação única

  2. Login universal por e-mail:

    No formulário de login por identificador universal (com o método de login por e-mail ativado), a detecção de domínio de e-mail SSO corporativo está ativada por padrão. Quando os usuários inserem seu endereço de e-mail, o Logto identifica automaticamente se há um conector SSO corporativo associado a esse domínio. Se houver correspondência, o formulário de login padrão é atualizado: o botão "Entrar" muda para "Single Sign-On", restringindo o usuário a fazer login apenas com o(s) conector(es) SSO corporativo(s).

    Login universal por e-mail

Perguntas frequentes (FAQs)

Posso usar Nome/Domínio da Organização em vez de Domínio de E-mail para redirecionar para o IdP?

Atualmente, a experiência de login pré-construída do Logto suporta apenas SSO por sugestão de domínio de e-mail, e não SSO por sugestão de domínio da organização.

Você pode criar uma página de roteamento personalizada no seu lado cliente usando os parâmetros de autenticação com directSignIn:'sso:{connectorId}. Essa página redirecionará grandes clientes corporativos para o IdP apropriado com base no domínio da organização. Saiba mais sobre o parâmetro de login direto.

Posso exibir um botão de Conector Corporativo específico na página de login?

Diferentes clientes corporativos usam diferentes provedores de identidade para gerenciar seus funcionários e solicitam diferentes escopos (OIDC) ou atributos (SAML). Portanto, não é recomendado exibir um botão de conector corporativo destinado a um cliente específico em uma página de login genérica.

No entanto, se você estiver desenvolvendo um produto B2E e quiser mostrar um botão para um cliente corporativo específico, pode criar uma página de login personalizada e usar directSignIn:sso para rotear o botão adequadamente. Saiba mais sobre o parâmetro de login direto.

Como habilitar login e cadastro apenas por SSO?

Para habilitar login e cadastro apenas por SSO, siga estes passos:

  1. Configure em Console > Login & conta > Cadastro e login
    • Cadastro: Não aplicável
    • Login: Nenhum
    • Login social: Nenhum
    • SSO corporativo: Ativado
    • Registro de usuário: Desativado
  2. Adicione usuários manualmente inserindo o endereço de e-mail corporativo em Console > Gerenciamento de usuários ou importe via Management API.
  3. Quando os usuários fizerem login via SSO pela primeira vez, o Logto irá vincular automaticamente o endereço de e-mail existente à conta SSO deles.