管理組織 (Organization)
本節說明開發者如何透過 Logto Console 或 Logto Management API 管理組織,而非組織管理員在你的應用程式內自助管理成員。如需開發組織使用體驗 (Experience) 的相關說明,請參閱本指南。
透過 Logto Console 管理
建立組織
前往 Console > Organizations 並點擊「建立組織」按鈕。
基本設定
你可以設定組織的基本屬性,如名稱、描述、標誌、客製資料等。
強制組織成員啟用 MFA
你可以要求組織內所有成員必須啟用多重要素驗證 (MFA, Multi-factor authentication)。這是一項安全措施,確保所有成員在存取組織資源時有額外的保護層。
啟用方式:進入組織詳細頁,開啟「多重要素驗證 (MFA)」開關。
你需要至少啟用一種 MFA 方法才能讓此功能正常運作。
啟用後,尚未設定 MFA 的成員將無法交換組織權杖 (Organization token),直到他們完成 MFA 設定。關於組織權杖交換時機,請參閱授權 (Authorization)。
請注意:
- 此功能僅檢查使用者是否已設定 MFA,不會強制使用者在交換存取權杖 (Access token) 時一定要使用 MFA。
- 此功能不限制使用者可選擇的 MFA 方法。
即時佈建 (Just-in-Time provisioning)
即時佈建 (Just-in-Time provisioning) 會在使用者首次登入應用程式時自動將其加入組織。在 Logto 中,這適用於企業級單一登入 (Enterprise SSO) 及以電子郵件網域為基礎的佈建。當使用者符合特定條件(如透過特定企業身分提供者 (IdP) 登入,或使用特定網域的電子郵件),將自動加入組織。
你也可以設定新成員首次加入組織時的預設組織角色 (Organization role)。
更多即時佈建細節與設定方式,請參閱本節。
管理組織成員
使用者可擁有一個或多個角色 (Role)。新增成員至組織時,你可以一次指派角色給多位使用者。若未指定角色,則新增的使用者將不會獲得任何角色。
在 Console > User management > User details page,你可以查看該使用者所屬的組織及其組織角色。
管理組織 M2M 應用程式
機器對機器應用程式 (M2M applications) 也可加入組織。你可以像指派角色給使用者一樣,指派角色給 M2M 應用程式。
在 Console > Applications > Application details page,你可以查看該應用程式所屬的組織及其組織角色。
透過 Logto Management API 管理
你在 Logto Console 能做的事,也都能透過 Management API 完成,包括但不限於:
- 建立、刪除或編輯組織。
- 管理組織範本:建立、刪除或編輯組織權限 (Permission) 與角色 (Role)。
- 新增或移除組織成員。
- 指派或移除使用者的組織角色。
- 新增或移除組織的機器對機器應用程式。
- 指派或移除 M2M 應用程式的組織角色。
你也可以參考本節,了解如何利用 Management API 實現更多組織層級的體驗與管理。深入了解
完整功能列表請參閱我們的 API 參考文件。
組織資料結構
每個組織,Logto 會儲存以下資料:
組織 ID
organization id 是每個組織的唯一識別碼。這對於實作組織層級登入體驗及取得組織權杖特別有用。
名稱
name 支援組織層級登入,並可依需求整合至組織層級的產品介面。
描述
description 欄位可用於新增文字,協助識別與標註組織。
組織標誌
若要在登入體驗中動態顯示客戶組織標誌,可於組織設定頁上傳組織標誌。
詳情請參閱組織專屬標誌。
客製資料
custom data 是一個 JSON 物件,用於儲存組織的額外資訊。你可以用來存放與應用程式相關的其他資料,例如組織專屬設定或中繼資料。
是否強制 MFA
isMfaRequired 表示該組織是否強制啟用多重要素驗證 (MFA)。若設為 true,所有成員在登入以存取組織時必須完成 MFA。此安全政策設定於組織層級。
詳情請參閱管理組織。
建立時間
createdAt 為組織建立時的帶時區時間戳記。
租戶 ID
tenantId 用於標識該組織所屬的租戶 (Tenant)。