如何打造多租戶、以組織為基礎的身份驗證體驗
使用 Logto 實現 B2B SaaS 的租戶專屬登入:自訂品牌和電郵模板、經企業 SSO 路由、要求 MFA、多配合 JIT 進行用戶即時自動建立。
在為企業打造 SaaS 時,其中一個最常見的需求,就是提供讓每個組織或租戶都感覺專屬的登入體驗。用戶期望能夠看到自己公司的品牌、使用熟悉的驗證方式,以及有一個無縫的上線流程——無論是用企業 SSO、自定義登入流程,還是通過 JIT 即時加入。做到這些不僅能增強用戶信任和參與度,也有助於配合企業安全與合規的要求。
Logto 讓你可以輕鬆建立靈活、安全且極度可自訂的每個組織專屬身份驗證流程。這份教學會逐步介紹實際場景和真實案例,協助你用 Logto 打造多租戶登入體驗。
1. 組織專屬品牌與自定義介面
場景: 你想讓每個組織在登入頁時都看到自己的 logo、品牌色和自定義樣式。
Logto 如何幫助你:
在 Logto 控制台,前往 組織 > 詳情。你可以為每個組織設定獨特的 Logo、Favicon、品牌顏色,甚至可注入專屬 CSS。這可確保用戶在登入時即時認出他們公司的品牌。
Logto 預設就提供出廠、組織專屬的登入介面。你可以在導向登入頁或用 Logto SDK 時,加上 organization_id
這個驗證參數來觸發每個組織分開的 SIE:
一旦提供 organization_id,Logto 就會自動套用該組織的正確介面,為終端用戶帶來熟悉的體驗。
這個預設的 UI 讓你無需維護每個租戶專屬的登入頁,同時也提升一致性和可擴展性。
參考: 組織專屬品牌
2. 基於組織自定義的電郵模板
場景: 你希望驗證和通知電郵能夠反映每個組織的身份。
Logto 如何幫助你:
Logto 支援電郵變數,讓你可以針對每個組織自定義電郵模板。當用戶觸發驗證電郵時,可以傳入如組織名稱、logo、favicon、使用者資訊和語言等組織專屬參數。
電郵範本範例(註冊,en-GB):
參考: 電郵範本
3. 企業 SSO:組織網域及 IdP 整合
場景: 你希望限制並引導企業用戶經公司 SSO 供應商登入。
Logto 如何幫助你:
- 在 Logto 控制台設定 企業 SSO 連接器(SAML、OIDC)。
範例:
- 電郵網域提示 SSO: 指定企業網域後,Logto 就能根據用戶電郵網域提示他們使用 SSO。
- IdP-identifier SSO: 讓你的企業客戶將你的 app 加到他們的 IdP 入口(如 Microsoft、Okta portal),令員工上線更容易。
參考: 企業 SSO
4. 每個組織自定義身份驗證方式
場景: 你希望為不同組織提供不一樣的登入選項(例如某些只用電郵登入,有些可用社交帳戶)。
Logto 如何幫助你:
雖然 Logto 控制台並不直接支援 per org 切換登入方式,但你可以使用驗證參數如 直接登入、登入提示、首個畫面 去建立自託管的登入頁 或 內嵌對話框元件。
範例:
對於 Org A,用你的驗證參數自定義驗證請求 URL,推動電郵優先的輸入畫面,並傳入用戶電郵作為提示:
如果你要讓 Org A 的用戶一開始就進入企業 SSO 體驗,加一個企業按鈕(例如繼續使用 Microsoft SSO)並加上針對指定 SSO 連接器的直接登入參數:
參考: 身份驗證參數
5. 為組織啟用多因素驗證(MFA)
場景: 你想針對部分組織強制啟用多因素驗證(MFA)。
Logto 如何幫助你:
你可以針對每個組織啟用 MFA,確保只有指定租戶的用戶必須再多進行一次驗證。在 Logto 控制台前往 組織 > 詳情 切換 MFA 設定。
參考: 組織管理
6. 為組織啟用即時(JIT)用戶建立
場景: 你想讓用戶用 SSO 或公司郵件登入時自動被加進其組織。例如,Acme Corp 新員工用 SSO 或 acme.com 郵箱登入,即時被自動加入你 app 內的 Acme 組織。
Logto 如何幫助你:
- 在每個組織詳情頁設定企業連接器的 JIT。
- 設定 JIT 可用的電郵網域,這樣符合網域的用戶會自動被加入組織。
參考: 即時(JIT)建立
結語
Logto 讓你為每個組織或租戶都能提供流暢、安全而具品牌感的登入體驗。不論你是在開發 B2B SaaS 平台、還是支援多間企業客戶,Logto 靈活的功能——品牌自訂、電郵模板、SSO、驗證參數、MFA 及 JIT——都能令多租戶身份驗證變得簡單並能隨業務增長而擴展。
準備開始了嗎?
立即查閱 Logto 文件,嘗試自訂你的組織登入體驗!