Svenska
  • tjänsteleverantör
  • sso
  • b2b
  • identitet
  • auth
  • autentisering
  • single sign-on

Lär dig om SP-initierad SSO för B2B-applikationer

Lär dig vad tjänsteleverantör-initierad (SP-initierad) single sign-on (SSO) är och hur det kan hjälpa din produkt inom företag-till-företag (B2B).

Ran
Ran
Product & Design

När det kommer till identitetsmodeller, är B2B-produkter i en liga för sig. De måste navigera i komplexiteten hos multi-tenanting samtidigt som de tillfredsställer företagskundernas krav på enhetlig medarbetaridentitet och accesshantering över en mängd tjänster och applikationer. Logto har också mött dessa krav från kunder. I denna artikel kommer vi att ta ett produktorienterat tillvägagångssätt för att förstå SP-initierad SSO och hur det adresserar dina kunders behov.

Koncept

Låt oss börja med att introducera några viktiga element som du behöver förstå:

  • Tjänsteleverantör (SP): Dina applikationer eller tjänster, som kan vara en eller flera appar som delar ett enda identitetssystem.
  • Företagsidentitetsleverantör (IdP): Den identitetsleverantör som dina företagskunder litar på för att hantera medarbetaridentiteter och applikationsbehörigheter. De kanske använder olika leverantörer, som Okta, Azure AD, Google Workspace, eller till och med egenbyggda IdPs.
  • Tjänsteleverantörens organisation (SP Org): B2B-appar stöder ofta multi-tenanting för olika klientorganisationer.
  • Identitetsleverantörens organisation (IdP Org): IdP:er stöder också multi-tenanting för olika klientorganisationer. Helst bör ett företag kunna länka sin IdP Org till en SP Org, genom att replikera medarbetaridentiteter, men verkligheten kan vara mer komplex.
  • Företagsanvändarkonto: Identifieras vanligtvis genom sin användning av en företagsmejldomän för inloggning. Detta företagsmejl tillhör slutligen företaget.

Undersök sedan SSO och två nyckelprotokoll:

  • Single sign-on (SSO): SSO tillåter användare att få tillgång till flera tjänster eller applikationer med en enda uppsättning referenser. Det förenklar accesshantering och förbättrar säkerheten.
  • SAML och OIDC-protokoll: SSO förlitar sig på dessa protokoll för autentisering och auktorisering, var och en med sina egna för- och nackdelar.

Det finns två huvudsakliga SSO-utlösande mekanismer att överväga:

  • IdP-initierad SSO: I IdP-initierad SSO, kontrollerar Identitetsleverantören (IdP) främst single sign-on-processen. Användare börjar autentiseringen från IdP:ns gränssnitt.
  • SP-initierad SSO: I SP-initierad SSO, tar Tjänsteleverantören (SP) ledningen i att initiera och hantera single sign-on-processen, ofta föredraget i B2B-situationer.

Nu, låt oss utforska SP-initierad SSO i detalj.

Ytnivå: användarupplevelse

Till skillnad från B2C-produkter som kan erbjuda ett par fasta sociala IdP-inloggningsknappar, kan B2B-produkter inte diktera vilken specifik Företags-IdP varje kund använder. Därför måste användare först deklarera sin identitet. Efter att ha bekräftat att de är medlem i ett företag som är aktiverat för SSO, omdirigeras de till sin respektive Företags-IdP för inloggning.

För att uppnå detta, måste du, på inloggningssidan, bestämma om användaren behöver logga in via SSO och till vilken IdP de ska omdirigeras. Vanliga metoder inkluderar:

  1. Email domänmappning: Associera en mejldomän med en specifik IdP-koppling. Detta påverkar användare med mejladresser under den domänen. Säkerställ verifiering av domänägande för att förhindra skadliga konfigurationer.
  2. Organisationsnamnsmappning: Koppla ett organisationsnamn med en IdP-koppling, förlita sig på att användarna minns sitt organisationsnamn.
  3. Användarens personliga mejlmappning: Detta låter dig direkt avgöra om ett användarkonto är aktiverat för SSO, utan att förlita sig på mejldomäner eller organisationsnamn. Du kan uppnå detta genom att bjuda in användare manuellt, anpassa regler för nödvändig SSO, eller automatiskt synkronisera deras konton genom katalogsynkronisering.

I designen av inloggningshemsidan finns det vanligtvis två former, som kan väljas baserat på din produkts affär:

  1. B2B-produkter: Rekommenderas att direkt visa SSO-knappar för att göra det intuitivt för dina företagskundmedlemmar som behöver använda SSO.
  2. Produkter kompatibla med B2C och B2B: Eftersom de flesta användare inte kommer att använda SSO, bedöm mejldomäner för att avgöra om SSO är nödvändig. Du kan fördröja visandet av referensverifiering, gömma den initialt och avslöja den när användarens identitet är bekräftad.

Underliggande komplexitet: användaridentitetsmodell

Men, att integrera SSO i ditt identitetssystem innebär mycket mer komplexitet än att helt enkelt lägga till en SSO-knapp på inloggningssidan. Du behöver överväga mycket fler faktorer.

Nyckelelementsrelationer är sällan en-till-en; du behöver överväga en-till-många och till och med många-till-många-scenarion. För att utforska dessa variationer gradvis:

  • En IdP Org med flera mejldomäner: Om du förlitar dig på mejldomäner för att avgöra användaridentitet, måste du stödja flera domänkopplingar.
  • En mejldomän motsvarande flera IdP Orgs: Om en domän kan tillhöra flera IdP Orgs, behöver användarna välja den IdP de vill ha för single sign-on.
  • En IdP Org länkat till flera SP Orgs: Överväg att tillhandahålla snabb möjlighet att ansluta en IdP till flera SP Orgs.
  • Ett användarkonto i flera IdP Orgs och SP Orgs: Olika SP Orgs kan kräva verifiering genom olika IdPs.

Att aktivera eller avaktivera SSO inom ett företag kan förändra hur användare autentiserar, vilket kräver en säker och smidig övergång.

  • Beslutsfattande för SSO-aktivering: Beslut måste fattas om SSO påverkar endast vissa tenant SP Orgs eller alla tenant SP Orgs. Det tidigare erbjuder flexibilitet, medan det senare står i linje med trenden med företagstäckande identitets- och accesskontroll.
  • Övergångsperiodsöverväganden: Som SP måste du tillgodose osäkerheter hos tredje part IdP-tjänster. Företagsadministratörer måste alltid kunna komma åt din app via SSO eller referenser som ett alternativ, och företagsmedlemmar kanske behöver dem under övergången.

Dessa är bara några punkter för att adressera olika scenarion; många fler möjligheter och detaljer kan utforskas.

Slutsats

Vi hoppas att denna analys av SP-initierad SSO ger dig nya perspektiv på företagsidentitetslösningar. Den goda nyheten är att Logto arbetar flitigt med att utveckla lösningar som erbjuder enkel konfiguration och färdiga SSO-autentiseringsupplevelser. Håll utkik efter vår kommande release, där vi kommer att fördjupa oss i specifika SP-initierade SSO-lösningar.

Utveckla ditt auth-system med Logto