SP 發起的單一登入 (SP-initiated SSO)
SP 發起的單一登入 (SP-initiated SSO) 是預設且比 IdP 發起的單一登入 (IdP-initiated SSO) 更安全的方法,允許企業用戶從 Logto 登入頁面啟動 SSO 登入流程。Logto 支援 電子郵件網域提示 SSO 以及 直接登入參數 SSO。
設定 SP 發起的單一登入 (SP-initiated SSO)
-
啟用企業級單一登入 (Enterprise SSO)
若要啟用企業級單一登入,請前往 主控台 > 登入與帳號 > 註冊與登入,並切換「啟用企業級單一登入」設定。啟用後,登入頁面會出現「單一登入 (Single Sign-On)」按鈕。具有啟用 SSO 的電子郵件網域的企業用戶可透過其企業身分提供者存取你的服務。
-
為不同客戶建立企業連接器 (Enterprise connectors)
接著,你需要為每個企業客戶整合其身分提供者。類似社交登入,在 Logto 中建立新的企業連接器並設定所需資訊。前往 主控台 > 企業級單一登入,點擊「新增企業連接器」按鈕,並依指示完成設定。詳情請參考 企業級單一登入連接器設定。
-
為企業連接器設定電子郵件網域
企業級單一登入的身分通常以公司電子郵件網域識別。在每個企業連接器詳細頁的 SSO 體驗 (Experience) 分頁中,你可以指定對應的電子郵件網域。
擁有指定電子郵件網域的用戶將僅能透過此企業級單一登入連接器登入,其他登入方式(如電子郵件驗證碼、電子郵件密碼驗證或社交登入)將對這些用戶停用。此 SSO 連接器僅對擁有指定網域的用戶顯示。
備註:公用電子郵件網域(如 gmail.com、yahoo.com)無法綁定至企業連接器。
SP 發起的單一登入體驗 (SP-initiated SSO experience)
當用戶嘗試以已設定 SSO 的企業電子郵件網域登入時,將啟動 SSO,並略過密碼等標準驗證方式。
-
單一登入按鈕 (Single sign-on button):
啟用企業級單一登入後,登入頁面會出現「單一登入 (Single Sign-On)」按鈕作為替代登入選項。點擊此連結後,用戶需輸入企業電子郵件地址以啟動 SSO 流程。
- 單一連接器:若用戶電子郵件網域僅綁定一個企業級單一登入連接器,將直接導向 IdP 登入頁。
- 多個連接器:若用戶電子郵件網域綁定多個企業級單一登入連接器,將先顯示 IdP 選擇清單,再導向所選 IdP 登入頁。
-
通用電子郵件登入 (Universal email sign-in):
在通用識別符登入表單(啟用電子郵件登入方式)中,企業級單一登入電子郵件網域偵測預設啟用。當用戶輸入電子郵件地址時,Logto 會自動判斷該網域是否綁定企業級單一登入連接器。若有符合,預設登入表單將更新:「登入」按鈕變為「單一登入 (Single Sign-On)」按鈕,僅允許用戶透過企業級單一登入連接器登入。
常見問題 (FAQs)
我可以用組織名稱 / 網域取代電子郵件網域來導向 IdP 嗎?
目前,Logto 預設登入體驗僅支援 電子郵件網域提示 SSO,不支援 組織網域提示 SSO。
你可以在客戶端自訂導向頁,搭配驗證參數 directSignIn:'sso:{connectorId} 使用。此頁可根據組織網域將大型企業客戶導向對應 IdP。詳情請參考 直接登入參數。
我可以在登入頁顯示特定企業連接器按鈕嗎?
不同企業客戶會使用不同身分提供者管理員工,並要求不同權限範圍(OIDC)或屬性(SAML)。因此,不建議在通用登入頁顯示僅適用於特定客戶的企業連接器按鈕。
但若你開發的是 B2E 產品,且希望為特定企業客戶顯示專屬按鈕,可自訂登入頁並使用 directSignIn:sso 進行導向。詳情請參考 直接登入參數。
如何啟用僅限 SSO 的登入與註冊?
若要啟用僅限 SSO 的登入與註冊,請依下列步驟操作:
- 在 主控台 > 登入與帳號 > 註冊與登入 設定
- 註冊:不適用
- 登入:無
- 社交登入:無
- 企業級單一登入:啟用
- 使用者註冊:停用
- 於 主控台 > 使用者管理 手動新增用戶(輸入企業電子郵件地址),或透過 Management API 匯入。
- 用戶首次透過 SSO 登入時,Logto 會 自動綁定 其現有電子郵件地址與 SSO 帳號。