Cómo crear una experiencia de autenticación multi-inquilino basada en organizaciones

Al desarrollar SaaS para empresas, uno de los requisitos más comunes es ofrecer una experiencia de inicio de sesión que se sienta personalizada para cada organización o inquilino. Los usuarios esperan ver la marca de su empresa, usar métodos de autenticación familiares y tener un proceso de incorporación sin fricciones, ya sea a través de SSO empresarial, flujos de inicio de sesión personalizados o membresía instantánea mediante aprovisionamiento JIT. Hacer esto bien no solo aumenta la confianza y el compromiso del usuario, sino que también te ayuda a cumplir con las necesidades de seguridad y cumplimiento de las empresas.

Logto facilita la creación de un flujo de autenticación por organización que es flexible, seguro y altamente personalizable. En este tutorial, recorreremos escenarios prácticos y ejemplos reales para ayudarte a aprovechar Logto en experiencias de inicio de sesión multi-inquilino.

1. Marca y UI personalizada por organización#

Escenario: Quieres que cada organización vea su propio logo, color de marca y estilos personalizados en la página de inicio de sesión.

Cómo ayuda Logto:
En Logto Console, navega a Organization > Details. Aquí puedes establecer un Logo único, Favicon, Color de marca e incluso inyectar CSS personalizado para cada organización. Esto asegura que los usuarios reconozcan instantáneamente la marca de su empresa al iniciar sesión.

Logto proporciona una interfaz preconstruida de inicio de sesión específica por organización lista para usar. Puedes activar un SIE por organización pasando el organization_id como un parámetro de autenticación al redirigir usuarios a la página de inicio de sesión o usando el SDK de Logto:

Una vez que se proporciona el organization_id, Logto aplica automáticamente la UI correcta para esa organización, ofreciendo una experiencia familiar para los usuarios finales.

Esta UI preconstruida te ahorra tener que crear y mantener páginas de inicio de sesión separadas por cada inquilino, garantizando la consistencia y escalabilidad.

Referencia: Marca específica por organización

2. Plantillas de correo electrónico basadas en organización#

Escenario: Quieres que los correos de verificación y notificaciones reflejen la identidad de cada organización.

Cómo ayuda Logto:
Logto soporta variables de correo electrónico, permitiendo personalizar plantillas por organización. Cuando un usuario solicita un correo de verificación, puedes pasar parámetros específicos como nombre de la organización, logo, favicon, info del usuario y el idioma preferido.

Ejemplo de plantilla de correo electrónico (registro, en-GB):

Referencia: Plantillas de correo electrónico

3. SSO empresarial: dominio de organización e integración de IdP#

Escenario: Quieres restringir y guiar a los usuarios empresariales a iniciar sesión mediante el proveedor SSO de su empresa.

Cómo ayuda Logto:

• Configura conectores SSO empresariales (SAML, OIDC) en Logto Console.

Ejemplo:

• SSO por dominio de correo: Al especificar un dominio empresarial, Logto puede sugerir a los usuarios utilizar SSO según su email.
• SSO por identificador de IdP: Permite que los clientes empresariales agreguen tu app a su portal de IdP (p. ej., Microsoft, portal Okta), facilitando la incorporación de empleados.

Referencia: SSO empresarial

4. Métodos de autenticación personalizados por organización#

Escenario: Quieres ofrecer distintas opciones de inicio de sesión para distintas organizaciones (por ejemplo, solo login por correo para unas, login social para otras).

Cómo ayuda Logto:
Aunque Logto Console no permite alternar los métodos de inicio de sesión por organización directamente, puedes usar parámetros de autenticación como Direct sign-in, Login hint y First screen para crear páginas de inicio de sesión autohospedadas o componentes embebidos en un diálogo.

Ejemplo:

Para la organización A, construye tu propia URL de autenticación con parámetros para mostrar una pantalla de identificación basada en email y pasa el correo del usuario como sugerencia:

Si deseas dirigir a los usuarios de la organización A directamente a una experiencia SSO empresarial, agrega un botón empresarial (por ejemplo, Continuar con Microsoft SSO) y añade un parámetro Direct Sign-In apuntando al conector SSO:

Referencia: Parámetros de autenticación

5. Habilita autenticación multifactor (MFA) para organizaciones#

Escenario: Quieres requerir Autenticación Multifactor (MFA) para organizaciones específicas.

Cómo ayuda Logto:
Puedes habilitar requisitos de MFA por organización, asegurando que solo los usuarios de ciertos inquilinos deben completar un paso extra de verificación. Ve a Organization > Details en Logto Console y activa la opción de MFA.

Referencia: Gestión de organización

6. Aprovisionamiento de usuarios Just-in-time (JIT) para organizaciones#

Escenario: Quieres que los usuarios se agreguen automáticamente a su organización cuando inicien sesión vía SSO o con un correo de empresa. Por ejemplo, un nuevo empleado de Acme Corp inicia sesión con SSO o su email acme.com y se agrega instantáneamente a la organización Acme en tu app.

Cómo ayuda Logto:

• Configura conectores empresariales para JIT en la página de detalles de cada organización.
• Establece el dominio de correo para JIT, de modo que los usuarios con dominios coincidentes sean aprovisionados automáticamente en la organización.

Referencia: Aprovisionamiento Just-in-Time

Conclusión#

Logto te permite ofrecer una experiencia de inicio de sesión fluida, segura y personalizada para cada organización o inquilino. Tanto si estás desarrollando una plataforma SaaS B2B como si apoyas a múltiples clientes empresariales, las características flexibles de Logto (marca, plantillas de correos, SSO, parámetros de autenticación, MFA y JIT) hacen que la autenticación multi-inquilino sea simple y escalable.

¿Listo para comenzar?
Explora la documentación de Logto y prueba hoy mismo a personalizar la experiencia de inicio de sesión de tu organización.