如何打造多租戶、以組織為基礎的認證體驗

當你在為企業打造 SaaS 時，其中一個最常見的需求就是為每個組織或租戶提供專屬且量身打造的登入體驗。用戶希望能看到自己公司的品牌、使用熟悉的驗證方式，以及擁有順暢的註冊流程——無論是透過企業 SSO、自定義登入流程，還是透過 JIT 佈署即時成為會員。把這些做到位不僅能提升用戶信任與參與度，還能幫助你滿足企業級的安全與合規需求。

Logto 讓你可以輕鬆打造彈性高、安全且高度可自訂的組織專屬認證流程。在本教學中，我們會以實際場景和真實案例，帶你運用 Logto 打造多租戶的登入體驗。

1. 組織專屬品牌識別與自訂 UI#

場景： 你希望每個組織在登入頁都能看到自己的 logo、品牌色和自定義風格。

Logto 如何協助： 在 Logto 控制台，進入 組織 > 詳細資訊 頁。你可以為每個組織設定專屬 Logo、Favicon、品牌色，甚至注入自定義 CSS。這能確保用戶在登入時一眼就認出自己公司的品牌。

Logto 內建提供了組織專屬的預設登入 UI。你可以在導向用戶到登入頁時，或使用 Logto SDK 時，傳入 organization_id 作為認證參數，觸發組織專屬的登入體驗（Per org SIE）：

當指定了 organization_id，Logto 會自動套用該組織對應的 UI，為終端用戶帶來熟悉又一致的體驗。

這個預設 UI 讓你不用手動維護每個租戶的登入頁，確保品牌一致性與彈性擴充。

參考連結： 組織專屬品牌識別

2. 以組織為基礎的郵件模板#

場景： 你希望驗證郵件與通知郵件能反映每個組織的品牌形象。

Logto 如何協助： Logto 支援郵件變數，讓你可以針對每個組織自訂郵件模板。當用戶觸發驗證郵件時，你可以傳遞諸如組織名稱、logo、favicon、用戶資訊與特定語系等參數。

郵件模板範例（註冊，en-GB）：

參考連結： 郵件模板

3. 企業 SSO：組織網域與 IdP 整合#

場景： 你希望只允許並引導企業用戶透過自己公司的 SSO 提供者登入。

Logto 如何協助：

• 在 Logto 控制台設定 企業級 SSO 連接器（SAML、OIDC）。

舉例：

• 郵件網域引導 SSO： 指定企業網域後，Logto 可以依據用戶的郵件網域提示使用 SSO。
• IdP 識別 SSO： 讓企業客戶把你的應用新增到他們的 IdP 控制台（如 Microsoft、Okta portal），讓員工快速上線。

參考連結： 企業 SSO

4. 每個組織自定認證方式#

場景： 你希望不同組織能有不同的登入選項（如只允許部分租戶用郵箱登入，其它用社群登入）。

Logto 如何協助： 雖然 Logto 控制台目前不支援直接為每組織切換登入方式，但你可以利用 Direct sign-in、Login hint 及 First screen 等認證參數，自己打造登入頁面或嵌入式組件。

舉例：

對 A 組織，你可以建構帶有認證參數的認證請求網址，進入 email first 身份頁，且傳入用戶郵件作為提示：

若你希望 A 組織直接進入企業 SSO，則加個企業按鈕（例如「以 Microsoft SSO 繼續」）並設定 Direct Sign-In 參數指向對應 SSO 連接器：

參考連結： 認證參數

5. 為組織啟用多重驗證（MFA）#

場景： 你希望只對特定組織強制開啟多重驗證（MFA）。

Logto 如何協助： 你可在每個組織內設定 MFA 要求，確保指定租戶的用戶必須完成額外驗證步驟。前往 Logto 控制台 組織 > 詳細資訊 並切換 MFA 開關即可。

參考連結： 組織管理

6. 組織的即時用戶佈署（JIT）#

場景： 你希望當用戶透過 SSO 或公司郵件登入時，自動加入該組織。舉例來說，Acme 公司新員工用 SSO 或 acme.com 郵箱登入後，能自動加入 Acme 組織。

Logto 如何協助：

• 在各組織詳細頁中設定企業連接器以支援 JIT。
• 設定郵件網域 JIT，讓符合網域的用戶自動分派進對應組織。

參考連結： 即時佈署 JIT

小結#

Logto 讓你能為每個組織或租戶帶來無縫、安全又具品牌識別的登入體驗。無論你是在建構 B2B SaaS 平台還是支援多個企業客戶，Logto 靈活的功能組合——自訂品牌、郵件模板、SSO、認證參數、MFA 和 JIT——都讓多租戶認證變得簡單且易於擴充。

準備開始了嗎？ 瀏覽 Logto 文件並立即試試自訂你的組織登入體驗！