企業連接器 (Enterprise connectors)

Logto 的 單一登入 (SSO, Single Sign-On) 解決方案 簡化了企業客戶的存取管理。企業 SSO 連接器對於為不同企業客戶啟用 SSO 至關重要。

這些連接器促進你的服務與企業身分提供者 (IdP) 之間的驗證流程。Logto 支援 SP 發起 SSO 及 IdP 發起 SSO，讓組織成員能使用現有公司帳號存取你的服務，提升安全性與生產力。

企業連接器 (Enterprise connectors)

Logto 提供多種主流企業身分提供者的預建連接器，方便快速整合。如有自訂需求，也支援透過 OpenID Connect (OIDC) 與 SAML 協議進行整合。

主流企業連接器 (Popular enterprise connectors)

Microsoft Entra ID (OIDC)

Microsoft Entra ID (SAML)

Google Workspace (OIDC)

Okta (OIDC)

自訂你的企業連接器 (Customize your enterprise connectors)

OIDC (enterprise)

SAML (enterprise)

如果我們的標準連接器無法滿足你的特殊需求，歡迎隨時聯繫我們。

設定企業連接器 (Configuring enterprise connectors)

1. 前往：控制台 > 企業 SSO。
2. 點擊「新增企業連接器」按鈕並選擇連接器類型。
3. 輸入唯一名稱（例如：Acme 公司用 Okta）。
4. 在「連線」分頁設定與你的 IdP 的連線。各連接器設定請參考上方指南。
5. 在「使用體驗 (Experience)」分頁自訂 SSO 體驗與電子郵件網域。
6. 對於 SAML 企業連接器，可選擇性在「IdP 發起 SSO」分頁啟用 IdP 發起 SSO。詳情請參考指南。
7. 儲存變更。

請注意以下設定：

• 電子郵件網域 (Email domains)：若使用者輸入的電子郵件網域在某個企業 SSO 連接器的「企業電子郵件網域」欄位中，該使用者將被導向該 SSO 連接器對應的登入網址。

  備註:

  請特別注意，當你在 SSO 連接器中設定相關電子郵件網域後，屬於這些網域的使用者將被強制使用 SSO 登入。

  換句話說，只有未在 SSO 連接器中設定的網域郵件，才能使用「電子郵件 + 驗證碼」或「電子郵件 + 密碼」登入（前提是這兩種登入方式已在登入體驗中啟用）。

• 同步使用者資料 (Sync user profiles)：選擇何時同步使用者資料（如頭像、名稱）。預設為「僅首次登入時同步」。你也可以選擇「每次登入時皆同步」，但可能導致自訂使用者資料被覆蓋。

• 顯示資訊 (Display information)：可選擇自訂連接器的顯示名稱與 Logo。當多個連接器綁定同一電子郵件網域時非常實用。使用者會在被導向 IdP 登入頁前，從 SSO 連接器按鈕列表中選擇所需的 IdP。

啟用企業 SSO (Enabling enterprise SSO)

1. 前往：控制台 > 登入體驗 > 註冊與登入。
2. 啟用「企業 SSO」開關。
3. 儲存變更。

啟用後，你的登入頁將出現「單一登入 (Single Sign-On)」按鈕。擁有啟用 SSO 電子郵件網域的企業使用者可透過其企業身分提供者 (IdP) 存取你的服務。想了解更多 SSO 使用者體驗，請參閱使用者流程：企業 SSO。

即時佈建至組織 (Just-in-time to organization)

在 Logto 中，即時佈建 (JIT, Just-in-Time provisioning) 是一種在使用者首次登入系統時，自動分配組織成員資格與角色的流程。

Logto 提供在組織內設定 SSO 連接器 JIT 佈建的入口，詳見參考說明。

常見問題 (FAQs)

變更企業 SSO 連接器後對現有使用者有何影響？

• 新增 SSO：若電子郵件相符，SSO 身分會自動綁定至現有帳號。
• 移除 SSO：會移除帳號綁定的 SSO 身分，但保留使用者帳號，並提示使用者設定其他驗證方式。

相關資源 (Related resources)

IdP 發起 SSO & SP 發起 SSO SAML vs. OpenID Connect SAML vs. SSO