ตัวเชื่อมต่อสำหรับองค์กร (Enterprise connectors)
โซลูชัน Single Sign-On (SSO) ของ Logto ช่วยให้การจัดการการเข้าถึงสำหรับลูกค้าองค์กรของคุณง่ายขึ้น ตัวเชื่อมต่อ SSO สำหรับองค์กรมีความสำคัญอย่างยิ่งในการเปิดใช้งาน SSO ให้กับลูกค้าองค์กรที่แตกต่างกันของคุณ
ตัวเชื่อมต่อเหล่านี้ช่วยอำนวยความสะดวกในกระบวนการการยืนยันตัวตน (Authentication) ระหว่างบริการของคุณกับผู้ให้บริการข้อมูลระบุตัวตนขององค์กร (IdPs) Logto รองรับทั้ง SSO ที่เริ่มต้นโดย SP และ SSO ที่เริ่มต้นโดย IdP ซึ่งช่วยให้สมาชิกองค์กรสามารถเข้าถึงบริการของคุณโดยใช้ข้อมูลประจำตัวของบริษัทที่มีอยู่ เพิ่มความปลอดภัยและประสิทธิภาพการทำงาน
ตัวเชื่อมต่อสำหรับองค์กร (Enterprise connectors)
Logto มีตัวเชื่อมต่อสำเร็จรูปสำหรับผู้ให้บริการข้อมูลระบุตัวตนขององค์กรยอดนิยม เพื่อการผสานรวมที่รวดเร็ว สำหรับความต้องการแบบกำหนดเอง เรายังรองรับการผสานรวมผ่านโปรโตคอล OpenID Connect (OIDC) และ SAML
ตัวเชื่อมต่อองค์กรยอดนิยม
ปรับแต่งตัวเชื่อมต่อองค์กรของคุณ
หากตัวเชื่อมต่อมาตรฐานของเราไม่ตรงกับความต้องการเฉพาะของคุณ โปรดติดต่อเราได้เลย
การตั้งค่าตัวเชื่อมต่อสำหรับองค์กร
- ไปที่: Console > Enterprise SSO
- คลิกปุ่ม "Add enterprise connector" และเลือกประเภทตัวเชื่อมต่อ
- กำหนดชื่อที่ไม่ซ้ำกัน (เช่น Okta for Acme Company)
- ตั้งค่าการเชื่อมต่อกับ IdP ของคุณในแท็บ "Connection" ตรวจสอบคู่มือด้านบนสำหรับแต่ละประเภทตัวเชื่อมต่อ
- ปรับแต่งประสบการณ์ SSO และ โดเมนอีเมล ในแท็บ "Experience"
- สำหรับตัวเชื่อมต่อ SAML องค์กร การเปิดใช้งาน SSO ที่เริ่มต้นโดย IdP ในแท็บ "IdP-initiated SSO" เป็นตัวเลือก ดูรายละเอียดในคู่มือ
- บันทึกการเปลี่ยนแปลง
โปรดทราบการตั้งค่าต่อไปนี้:
-
โดเมนอีเมล: หากโดเมนอีเมลของอีเมลที่ผู้ใช้กรอกอยู่ในช่อง "Enterprise email domains" ของตัวเชื่อมต่อ SSO องค์กรบางตัว ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยัง URL ลงชื่อเข้าใช้ของตัวเชื่อมต่อ SSO นั้น
บันทึก:สิ่งสำคัญคือต้องทราบว่า หลังจากตั้งค่าโดเมนอีเมลที่เกี่ยวข้องในตัวเชื่อมต่อ SSO แล้ว ผู้ใช้ที่ลงชื่อเข้าใช้ด้วยอีเมลที่อยู่ในโดเมนเหล่านั้นจะถูกบังคับให้ใช้ SSO sign-in
กล่าวคือ เฉพาะอีเมลจากโดเมนที่ ไม่ได้ ตั้งค่าในตัวเชื่อมต่อ SSO เท่านั้นที่สามารถใช้การลงชื่อเข้าแบบ "อีเมล + รหัสยืนยัน" หรือ "อีเมล + รหัสผ่าน" ได้ (โดยต้องเปิดใช้งานวิธีลงชื่อเข้าใช้ทั้งสองนี้ใน Sign-up and sign-in)
-
ซิงค์โปรไฟล์ผู้ใช้: เลือกว่าจะซิงค์ข้อมูลโปรไฟล์ผู้ใช้ (เช่น รูปโปรไฟล์, ชื่อ) เมื่อใด พฤติกรรมเริ่มต้นคือ "ซิงค์เฉพาะครั้งแรกที่ลงชื่อเข้าใช้" "ซิงค์ทุกครั้งที่ลงชื่อเข้าใช้" เป็นอีกตัวเลือกหนึ่ง แต่ข้อมูลผู้ใช้ที่ปรับแต่งเองอาจถูกเขียนทับ
-
เปิดใช้งานการจัดเก็บโทเค็น: สำหรับตัวเชื่อมต่อ OIDC องค์กร คุณสามารถเปิดใช้งานการจัดเก็บโทเค็นเพื่อบันทึกโทเค็นการเข้าถึง (Access token) และโทเค็นรีเฟรช (Refresh token) อย่างปลอดภัยใน Secret Vault ของ Logto เมื่อผู้ใช้ลงชื่อเข้าใช้ด้วย IdP องค์กร ช่วยให้แอปของคุณเข้าถึง API ของบุคคลที่สามในนามของผู้ใช้โดยไม่ต้องให้ผู้ใช้ยืนยันตัวตนซ้ำ ศึกษาเพิ่มเติมเกี่ยวกับ Federated token storage
-
ข้อมูลที่แสดงผล: สามารถปรับแต่งชื่อที่แสดงและโลโก้สำหรับตัวเชื่อมต่อได้ตามต้องการ มีประโยชน์มากเมื่อมีตัวเชื่อมต่อหลายตัวที่เชื่อมกับโดเมนอีเมลเดียวกัน ผู้ใช้จะเลือก IdP ที่ต้องการจากรายการปุ่ม SSO connector ก่อนถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบของ IdP
การเปิดใช้งาน SSO สำหรับองค์กร
- ไปที่: Console > Sign-in & account > Sign-up and sign-in
- เปิดสวิตช์ "Enterprise SSO"
- บันทึกการเปลี่ยนแปลง
เมื่อเปิดใช้งานแล้ว จะมีปุ่ม "Single Sign-On" ปรากฏในหน้าลงชื่อเข้าใช้ของคุณ ผู้ใช้ในองค์กรที่มีโดเมนอีเมลที่เปิดใช้งาน SSO สามารถเข้าถึงบริการของคุณโดยใช้ผู้ให้บริการข้อมูลระบุตัวตนขององค์กร (IdPs) เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับประสบการณ์ผู้ใช้ SSO ดูที่ User flows: Enterprise SSO
Just-in-time ไปสู่องค์กร
ใน Logto Just-in-Time (JIT) provisioning คือกระบวนการที่ใช้กำหนดสมาชิกและบทบาทขององค์กรให้กับผู้ใช้อัตโนมัติขณะลงชื่อเข้าใช้ระบบครั้งแรก
Logto มีจุดเริ่มต้นสำหรับการตั้งค่า JIT provisioning ของตัวเชื่อมต่อ SSO ภายในองค์กร ดู อ้างอิง
คำถามที่พบบ่อย
ผลกระทบต่อผู้ใช้เดิมหลังเปลี่ยนแปลงตัวเชื่อมต่อ SSO องค์กร?
- เพิ่ม SSO: ตัวตน SSO จะถูกเชื่อมโยงกับบัญชีเดิมหากอีเมลตรงกัน
- ลบ SSO: จะลบตัวตน SSO ที่เชื่อมกับบัญชี แต่ยังคงบัญชีผู้ใช้ไว้ และแจ้งให้ผู้ใช้ตั้งค่าวิธีการยืนยันตัวตนทางเลือก
แหล่งข้อมูลที่เกี่ยวข้อง
SSO ที่เริ่มต้นโดย IdP & SSO ที่เริ่มต้นโดย SP
SAML เทียบกับ OpenID Connect
SAML เทียบกับ SSO