マルチテナント型・組織別認証体験の構築方法
Logto で B2B SaaS のテナント固有のサインイン体験:ブランドやメールテンプレートのカスタマイズ、エンタープライズ SSO 経由ルーティング、MFA 必須化、JIT によるユーザー自動プロビジョニング。
ビジネス向け SaaS を開発する際、最もよくある要求のひとつは、それぞれの組織やテナントに合わせてパーソナライズされたサインイン体験を提供することです。ユーザーは自社ブランドを目にし、慣れ親しんだ認証方法を使い、エンタープライズ SSO や独自のログインフロー、または JIT プロビジョニングによる即時メンバー追加など、スムーズなオンボーディングを期待します。これを正しく実装することで、ユーザーの信頼とエンゲージメントが向上するだけでなく、エンタープライズのセキュリティやコンプライアンス要件にも適合できます。
Logto を利用することで、柔軟かつ安全で高いカスタマイズ性を持った、組織単位の認証フローを簡単に構築できます。本ガイドでは、実践的なシナリオや現場で使える例を通じて、マルチテナント向けサインイン体験のための Logto の活用方法を紹介します。
1. 組織専用ブランド & カスタム UI
シナリオ: 各組織ごとに専用のロゴやブランドカラー、カスタムスタイルをサインインページで表示したい。
Logto のサポート内容:
Logto Console で 組織 > 詳細 に移動し、各組織ごとのロゴ、ファビコン、ブランドカラーやカスタム CSS を設定できます。これにより、ユーザーがサインイン時にすぐ自社ブランドを認識できるようになります。
Logto では、組織専用のプリビルトサインイン UI が提供されており、「organization_id」を認証パラメータとしてサインインページへリダイレクトする際や Logto SDK で渡すことで、組織単位 UI(Per org SIE)を呼び出せます:
organization_id が指定されると、Logto はその組織専用 UI を自動で適用し、エンドユーザーに馴染みのある体験を届けます。
このプリビルト UI により、各テナントごとに個別のサインインページを構築・保守する手間を省きつつ、一貫性と拡張性も担保できます。
参考: 組織固有のブランド設定
2. 組織単位のメールテンプレート
シナリオ: 本人確認や通知メールにも、組織ごとのアイデンティティを反映させたい。
Logto のサポート内容:
Logto ではメール変数に対応しており、組織ごとにメールテンプレートをカスタマイズできます。ユーザーが認証メールをトリガーした際、組織名・ロゴ・ファビコン・ユーザー情報・特定ロケールなど、組織専用のパラメータを渡すことができます。
メールテンプレート例(登録/英語 en-GB):
参考: メールテンプレート
3. エンタープライズ SSO:組織ドメイン & IdP 連携
シナリオ: 企業ユーザーに、自社 SSO プロバイダ経由でのサインインを促し制限したい。
Logto のサポート内容:
例:
- メールドメインプロンプト SSO: 企業ドメインを指定することで、Logto がメールドメインから SSO 利用を促すことが可能。
- IdP 識別子 SSO: 顧客企業が Microsoft/Okta ポータルなど IdP にアプリを追加し、従業員のオンボーディングをスムーズに。
参考: エンタープライズ SSO
4. 組織別カスタム認証方法
シナリオ: 組織ごとにサインイン方法を変更したい(例:一部組織はメールログインのみ、他はソーシャルログイン可、など)。
Logto のサポート内容:
Logto Console で組織ごとに直接ログイン方法 ON/OFF はできませんが、Direct sign-in、Login hint、First screen などの認証パラメータを活用し、セルフホストのサインインページやダイアログ埋め込み用コンポーネントを構築できます。
例:
組織 A については、email ファースト入力画面に誘導し、ユーザーのメールアドレスをヒントとして渡す認証リクエスト URL を作成:
組織 A ユーザーを直接エンタープライズ SSO 体験に誘導したい場合、エンタープライズボタン(例:Microsoft SSO で続ける)を追加し、Direct Sign-In パラメータを SSO コネクタ向けに付加します:
参考: 認証パラメータ
5. 組織ごとの多要素認証(MFA)必須化
シナリオ: 特定組織のみに多要素認証(MFA)を必須にしたい。
Logto のサポート内容:
Logto では組織ごとに MFA 必須設定ができ、指定したテナントからのユーザーだけ追加認証ステップを必須にできます。Logto Console の 組織 > 詳細 ページで MFA のトグルを切り替えて設定可能です。
参考: 組織管理
6. 組織向け JIT(ジャストインタイム)ユーザー自動プロビジョニング
シナリオ: SSO や会社メールでサインイン時、自動的に所属組織へ追加したい。例:Acme Corp の新入社員が SSO または acme.com メールでサインインすると、自動で Acme 組織にアサインされる。
Logto のサポート内容:
- 各組織詳細ページでエンタープライズコネクタの JIT 設定
- JIT 用メールドメインを設定し、該当メールドメインユーザーを自動組織プロビジョニング
参考: JIT プロビジョニング
まとめ
Logto を使えば、あらゆる組織・テナントに対し、シームレスかつ安全でブランド感のあるサインイン体験を提供できます。B2B SaaS プラットフォーム構築でも、複数エンタープライズ顧客サポートでも、Logto の柔軟な機能(カスタムブランド、メールテンプレート、SSO、認証パラメータ、MFA、JIT など)により、マルチテナント認証が容易かつスケーラブルになります。
さあ始めましょう!
Logto ドキュメントをチェックして、今日から組織ごとの認証体験カスタマイズを試してみましょう!