如何打造多租户、基于组织的身份验证体验

当为企业构建 SaaS 时，最常见的需求之一就是为每个组织或租户打造出定制化的登录体验。用户希望看到他们公司的品牌形象、使用熟悉的身份验证方式，并且拥有顺畅的入职流程——无论是通过企业 SSO 、自定义登录流程还是通过 JIT 预配实现的即时成员身份。做到这一点不仅能够提升用户信任和参与度，还能帮助你满足企业安全及合规要求。

Logto 让你能够轻松构建灵活、安全且高度可定制的按组织身份验证流程。在本教程中，我们将通过实际场景和真实案例，帮助你利用 Logto 打造多租户登录体验。

1. 组织专属品牌与自定义界面#

场景： 你希望每个组织在登录页看到自己的 Logo、品牌色和自定义样式。

Logto 如何帮助：
在 Logto 控制台中，导航至 组织 > 详情。在这里，你可以为每个组织设置独特的 Logo、Favicon、品牌色，甚至注入自定义 CSS。这样用户在登录时可以第一时间识别出公司的品牌。

Logto 提供开箱即用的、按组织区分的登录 UI。你可以在重定向用户到登录页时，传递 organization_id 作为身份验证参数，或者使用 Logto SDK 触发每租户登录体验：

一旦提供 organization_id，Logto 会自动为对应组织应用正确的界面，向终端用户呈现熟悉的体验。

这个预置 UI 让你无需为每个租户单独构建和维护登录页面，既保证了一致性又易于扩展。

参考： 组织专属品牌

2. 基于组织的邮件模板#

场景： 你希望验证邮件和通知邮件能够体现各自组织的品牌身份。

Logto 如何帮助：
Logto 支持邮件变量，让你能按组织定制邮件模板。当用户触发验证邮件时，你可以传递诸如组织名称、Logo、Favicon、用户信息以及特定语言等组织专属参数。

示例邮件模板（注册，en-GB）：

参考： 邮件模板

3. 企业 SSO ：组织域名与 IdP 集成#

场景： 你希望强制并引导企业用户通过公司 SSO 供应商登录。

Logto 如何帮助：

• 在 Logto 控制台配置 企业 SSO 连接器（SAML、OIDC）。

示例：

• 邮箱域名引导 SSO ： 通过指定企业域名，Logto 能根据邮箱域引导用户使用 SSO 登录。
• IdP-identifier SSO ： 让企业客户可以将你的应用添加到他们的 IdP 门户（如 Microsoft、Okta），实现员工无缝入职。

参考： 企业 SSO

4. 组织定制的认证方式#

场景： 你希望为不同组织提供不同的登录选项（如有的仅支持邮箱，有的支持社交登录等）。

Logto 如何帮助：
虽然 Logto 控制台暂不支持直接为单独组织切换登录方式，但你可以借助 Direct sign-in、Login hint、First screen 等认证参数，自定义托管登录页或在弹窗中嵌入登录组件。

示例：

对组织 A ，自定义认证请求 URL，并通过参数驱动邮箱优先的身份输入界面，把用户邮箱作为提示：

如果你希望将组织 A 的用户直接带入企业 SSO 流程，可以添加企业登录按钮（如“使用 Microsoft SSO 登录”）并在 URL 中加上指向 SSO 连接器的 Direct Sign-In 参数：

参考： 认证参数

5. 为组织开启多因素认证（MFA）#

场景： 你希望为特定组织强制开启多因素认证（MFA）。

Logto 如何帮助：
你可以按组织级别开启 MFA，要确保只有来自选定租户的用户在登录时必须完成一次额外的验证步骤。进入 Logto 控制台 组织 > 详情 中，切换启用 MFA 设置。

参考： 组织管理

6. 为组织启用即时（JIT）用户预配#

场景： 你希望用户在通过 SSO 或公司邮箱登录时能被自动添加进其对应的组织。例如，Acme 公司新员工通过 SSO 或 acme.com 邮箱首次登录后，立即被添加到你的应用中的 Acme 组织。

Logto 如何帮助：

• 在每个组织详情页面配置企业连接器支持 JIT。
• 设置邮箱域名自动 JIT ，让邮箱匹配的用户自动被预配到组织中。

参考： 即时预配（JIT）

总结#

Logto 赋能你为每个组织或租户提供无缝、安全且专属品牌的登录体验。无论你是在打造 B2B SaaS 平台还是服务多个企业客户，Logto 灵活的功能——自定义品牌、邮件模板、SSO、认证参数、MFA、JIT——都让多租户认证变得简单且可持续扩展。

准备好开始了吗？
探索 Logto 的文档，今天就试试自定义你的组织登录体验吧！