如何打造多租戶、以組織為基礎的身份驗證體驗

在為企業打造 SaaS 時，其中一個最常見的需求，就是提供讓每個組織或租戶都感覺專屬的登入體驗。用戶期望能夠看到自己公司的品牌、使用熟悉的驗證方式，以及有一個無縫的上線流程——無論是用企業 SSO、自定義登入流程，還是通過 JIT 即時加入。做到這些不僅能增強用戶信任和參與度，也有助於配合企業安全與合規的要求。

Logto 讓你可以輕鬆建立靈活、安全且極度可自訂的每個組織專屬身份驗證流程。這份教學會逐步介紹實際場景和真實案例，協助你用 Logto 打造多租戶登入體驗。

1. 組織專屬品牌與自定義介面#

場景： 你想讓每個組織在登入頁時都看到自己的 logo、品牌色和自定義樣式。

Logto 如何幫助你：
在 Logto 控制台，前往 組織 > 詳情。你可以為每個組織設定獨特的 Logo、Favicon、品牌顏色，甚至可注入專屬 CSS。這可確保用戶在登入時即時認出他們公司的品牌。

Logto 預設就提供出廠、組織專屬的登入介面。你可以在導向登入頁或用 Logto SDK 時，加上 organization_id 這個驗證參數來觸發每個組織分開的 SIE：

一旦提供 organization_id，Logto 就會自動套用該組織的正確介面，為終端用戶帶來熟悉的體驗。

這個預設的 UI 讓你無需維護每個租戶專屬的登入頁，同時也提升一致性和可擴展性。

參考： 組織專屬品牌

2. 基於組織自定義的電郵模板#

場景： 你希望驗證和通知電郵能夠反映每個組織的身份。

Logto 如何幫助你：
Logto 支援電郵變數，讓你可以針對每個組織自定義電郵模板。當用戶觸發驗證電郵時，可以傳入如組織名稱、logo、favicon、使用者資訊和語言等組織專屬參數。

電郵範本範例（註冊，en-GB）：

參考： 電郵範本

3. 企業 SSO：組織網域及 IdP 整合#

場景： 你希望限制並引導企業用戶經公司 SSO 供應商登入。

Logto 如何幫助你：

• 在 Logto 控制台設定 企業 SSO 連接器（SAML、OIDC）。

範例：

• 電郵網域提示 SSO: 指定企業網域後，Logto 就能根據用戶電郵網域提示他們使用 SSO。
• IdP-identifier SSO: 讓你的企業客戶將你的 app 加到他們的 IdP 入口（如 Microsoft、Okta portal），令員工上線更容易。

參考： 企業 SSO

4. 每個組織自定義身份驗證方式#

場景： 你希望為不同組織提供不一樣的登入選項（例如某些只用電郵登入，有些可用社交帳戶）。

Logto 如何幫助你：
雖然 Logto 控制台並不直接支援 per org 切換登入方式，但你可以使用驗證參數如 直接登入、登入提示、首個畫面 去建立自託管的登入頁 或 內嵌對話框元件。

範例：

對於 Org A，用你的驗證參數自定義驗證請求 URL，推動電郵優先的輸入畫面，並傳入用戶電郵作為提示：

如果你要讓 Org A 的用戶一開始就進入企業 SSO 體驗，加一個企業按鈕（例如繼續使用 Microsoft SSO）並加上針對指定 SSO 連接器的直接登入參數：

參考： 身份驗證參數

5. 為組織啟用多因素驗證（MFA）#

場景： 你想針對部分組織強制啟用多因素驗證（MFA）。

Logto 如何幫助你：
你可以針對每個組織啟用 MFA，確保只有指定租戶的用戶必須再多進行一次驗證。在 Logto 控制台前往 組織 > 詳情 切換 MFA 設定。

參考： 組織管理

6. 為組織啟用即時（JIT）用戶建立#

場景： 你想讓用戶用 SSO 或公司郵件登入時自動被加進其組織。例如，Acme Corp 新員工用 SSO 或 acme.com 郵箱登入，即時被自動加入你 app 內的 Acme 組織。

Logto 如何幫助你：

• 在每個組織詳情頁設定企業連接器的 JIT。
• 設定 JIT 可用的電郵網域，這樣符合網域的用戶會自動被加入組織。

參考： 即時（JIT）建立

結語#

Logto 讓你為每個組織或租戶都能提供流暢、安全而具品牌感的登入體驗。不論你是在開發 B2B SaaS 平台、還是支援多間企業客戶，Logto 靈活的功能——品牌自訂、電郵模板、SSO、驗證參數、MFA 及 JIT——都能令多租戶身份驗證變得簡單並能隨業務增長而擴展。

準備開始了嗎？
立即查閱 Logto 文件，嘗試自訂你的組織登入體驗！