繁體中文(台灣)
  • service provider
  • sso
  • b2b
  • identity
  • auth
  • authentication
  • single sign-on

了解針對 B2B 應用程式的 SP 發起 SSO

了解什麼是服務提供者發起 (SP 發起) 的單一登入 (SSO),以及它如何幫助你的企業對企業 (B2B) 產品。

Ran
Ran
Product & Design

當談到身份模型時,B2B 產品獨具一格。它們必須在滿足企業客戶對統一員工身份和跨多種服務與應用程式的存取管理需求的同時,處理多租戶的複雜性。Logto 也曾遇到客戶提出這些需求。在本文中,我們將採用產品導向的方法來了解 SP 發起 SSO 以及它如何滿足你的客戶需求。

概念

首先介紹一些你需要了解的關鍵元素:

  • 服務提供者 (SP): 你的應用程式或服務,可能是一個或多個共享單一身份系統的應用程式。
  • 企業身份提供者 (IdP): 企業客戶依賴的身份提供者,用來管理員工身份和應用程式權限。他們可能使用不同的提供者,如 Okta、Azure AD、Google Workspace,或甚至是自建的 IdP。
  • 服務提供者的組織 (SP Org): B2B 應用程式通常支援不同客戶組織的多租戶。
  • 身份提供者的組織 (IdP Org): IdP 也支援不同客戶組織的多租戶。理想情況下,一個企業應能夠將其 IdP Org 連結到一個 SP Org,複製員工身份,但現實可能更為複雜。
  • 企業用戶帳戶: 通常透過使用公司電子郵件域名登入識別。這個企業電子郵件帳戶最終屬於公司。

接著,深入瞭解 SSO 和兩個關鍵協議:

  • 單一登入 (SSO): SSO 允許用戶使用一組憑證訪問多個服務或應用程式。它簡化了存取管理,並增強了安全性。
  • SAML 和 OIDC 協議: SSO 依賴於這些協議進行身份驗證和授權,各有優缺點。

需要考慮兩種主要的 SSO 觸發機制:

  • IdP 發起 SSO: 在 IdP 發起 SSO 中,身份提供者 (IdP) 主要控制單一登入過程。用戶從 IdP 的介面開始身份驗證。
  • SP 發起 SSO: 在 SP 發起 SSO 中,服務提供者 (SP) 主導發起和管理單一登入過程,這通常在 B2B 場景中更受青睞。

現在,讓我們深入了解 SP 發起 SSO。

表面層次:用戶體驗

不同於 B2C 產品可以提供幾個固定的社交 IdP 登入按鈕,B2B 產品無法決定每個客戶使用的具體企業 IdP。因此,用戶首先需要聲明他們的身份。在確認他們是啟用了 SSO 的企業成員後,將他們重新導向到各自的企業 IdP 登入。

為了達成這一點,你必須在登入頁面上確定用戶是否需要透過 SSO 登入,以及應重新導向到哪個 IdP。常見的方法包括:

  1. 電子郵件域名映射: 將一個電子郵件域名與特定的 IdP 連接器相關聯。這會影響在該域名下的電子郵件地址的用戶。確保進行域名擁有權驗證以防止惡意配置。
  2. 組織名稱映射: 將組織的名稱與 IdP 連接器連結,依賴用戶記住他們的組織名稱。
  3. 用戶個人電子郵件映射: 這允許你直接確定用戶帳戶是否啟用了 SSO,而不依賴於電子郵件域名或組織名稱。你可以透過手動邀請用戶、自訂必需的 SSO 規則或自動同步他們的帳戶透過目錄同步來達成這一點。

在登入首頁的設計中,通常會有兩種形式,可根據你的產品業務進行選擇:

  1. B2B 產品: 建議直接顯示 SSO 按鈕,讓需要使用 SSO 的企業客戶成員能直觀地使用。
  2. 與 B2C 和 B2B 兼容的產品: 由於大部分用戶不會使用 SSO,可評估電子郵件域名來確定是否需要 SSO。你可以推遲呈現憑證驗證,最初隱藏,而在確認用戶身份後再顯示。

潛在複雜性:用戶身份模型

然而,將 SSO 整合到你的身份系統中比僅僅在登入頁面上添加 SSO 按鈕要複雜得多。你需要考慮更多因素。

關鍵元素關係很少是一對一的;你需要考慮一對多甚至多對多的情況。要逐步探索這些變化:

  • 一個 IdP Org 擁有多個電子郵件域名: 如果你依賴電子郵件域來確定用戶身份,你必須支持多域綁定。
  • 一個電子郵件域對應多個 IdP Org: 如果一個域可能屬於多個 IdP Org,用戶需要選擇他們想要用於單一登入的 IdP。
  • 一個 IdP Org 連結多個 SP Org: 考慮提供快速連接一個 IdP 到多個 SP Org 的能力。
  • 一個用戶帳戶在多個 IdP Org 和 SP Org 中: 不同的 SP Org 可能需要通過不同的 IdP 進行驗證。

在企業內部啟用或停用 SSO 可以改變用戶的身份驗證方式,要求一個安全且順利的過渡。

  • SSO 啟動決策: 必須做出決定 SSO 僅影響某些租戶 SP Org 還是所有租戶 SP Org。前者提供靈活性,而後者符合企業範圍內身份和存取控制的趨勢。
  • 過渡期考慮因素: 作為 SP,必須容納第三方 IdP 服務的不確定性。企業管理員總是需要通過 SSO 或憑證訪問你的應用程式作為一種選項,企業成員可能在過渡期間需要它們。

這些只是在處理各種情況時的一些要點;還有很多能力和細節可供探索。

結論

我們希望這份對 SP 發起 SSO 的分析能為你提供企業身份解決方案的新視角。好消息是,Logto 正在精心開發提供簡單配置和開箱即用 SSO 身份驗證體驗的解決方案。請繼續關注我們即將發佈的版本,屆時我們將深入探討具體的 SP 發起 SSO 解決方案。

使用 Logto 開發你的身份驗證系統