跳到主要内容

管理组织 (Organization)

本节介绍开发者如何通过 Logto 控制台或 Logto Management API 管理他们的组织 (Organization),而不是组织 (Organization) 管理员如何在你的应用内自助管理成员。要了解如何开发你的组织 (Organization) 体验,请查阅本指南

通过 Logto 控制台管理

创建组织 (Organization)

导航到 控制台 > 组织 (Organizations) 并点击“创建组织 (Organization)”按钮。

基本设置

你可以配置组织 (Organization) 的基本属性,如名称、描述、Logo、自定义数据等。

要求组织 (Organization) 成员启用 MFA

你可以要求组织 (Organization) 的所有成员启用多因素认证 (MFA)。这是一个安全措施,确保所有成员在访问组织 (Organization) 资源时有额外的保护层。

要启用此功能,请进入组织 (Organization) 详情页并打开“多因素认证 (MFA)”开关。

备注:

你需要至少启用一种 MFA 方法才能使此功能正常工作。

启用后,未配置 MFA 的成员在设置 MFA 之前将无法交换组织令牌。关于组织令牌何时被交换的更多细节,请参阅授权 (Authorization)

请注意:

  • 此功能仅检查用户是否已配置 MFA,不会强制用户在交换访问令牌时使用 MFA。
  • 此功能不限制用户可以使用哪些 MFA 方法。

即时 (Just-in-Time) 供应

即时 (Just-in-Time) 供应 会在用户首次登录应用时自动将其添加到组织 (Organization)。在 Logto 中,这对企业单点登录 (SSO) 和基于邮箱域的供应均支持。当用户满足特定条件(如通过特定企业 IdP 登录或使用特定域名的邮箱登录)时,他们会被自动加入组织 (Organization)。

你还可以为首次加入组织 (Organization) 的成员设置默认组织角色。

关于即时 (Just-in-Time) 供应的更多细节及设置方法,请参阅本节

管理组织 (Organization) 成员

用户可以拥有一个或多个角色。添加成员到组织 (Organization) 时,你可以为多个用户分配角色。如果不分配角色,新增用户将不会获得任何角色。

控制台 > 用户管理 > 用户详情页,你可以查看该用户属于哪些组织 (Organizations) 以及拥有的组织角色。

管理组织 (Organization) M2M 应用程序

机器对机器 (M2M) 应用程序也可以被添加到组织 (Organization)。你可以像为用户分配角色一样为机器对机器 (M2M) 应用程序分配角色

控制台 > 应用程序 > 应用程序详情页,你可以查看该应用程序关联了哪些组织 (Organizations) 以及拥有的组织角色。

通过 Logto Management API 管理

你在 Logto 控制台能做的所有操作,也可以通过 Management API 完成,包括但不限于:

  1. 创建、删除或编辑组织 (Organization)。
  2. 管理组织模板:创建、删除或编辑组织权限和角色。
  3. 向组织 (Organization) 添加或移除成员。
  4. 分配或移除用户的组织角色。
  5. 向组织 (Organization) 添加或移除机器对机器 (M2M) 应用程序。
  6. 分配或移除机器对机器 (M2M) 应用程序的组织角色。

你还可以查阅本节,了解如何使用 Management API 实现更多组织 (Organization) 级别的体验和管理。了解更多

完整能力列表请参考我们的 API 参考文档

组织 (Organization) 数据结构

对于每个组织 (Organization),Logto 会存储以下数据:

组织 ID

organization id 是每个组织 (Organization) 的唯一标识符。它对于实现组织 (Organization) 级别的登录体验和获取组织令牌非常有用。

名称

name 支持组织 (Organization) 级别的登录,并可根据需要集成到组织 (Organization) 级别的产品界面中。

描述

description 字段允许你添加文本以帮助识别和标记组织 (Organization)。

组织 Logo

为了在登录体验中动态展示客户组织 (Organization) 的 Logo,你可以在组织 (Organization) 设置页上传组织 Logo。

详见组织特定 Logo

自定义数据

custom data 是一个 JSON 对象,用于存储关于组织 (Organization) 的额外信息。你可以用它存储任何与你的应用相关的附加信息,如组织 (Organization) 特定设置或元数据。

是否要求 MFA

isMfaRequired 表示该组织 (Organization) 是否强制要求多因素认证 (MFA)。如果设置为 true,所有成员在登录时必须完成 MFA 才能访问组织 (Organization)。此安全策略在组织 (Organization) 级别配置。

详见管理组织 (Organization)

创建时间

createdAt 是组织 (Organization) 创建时带有时区的时间戳。

租户 ID

tenantId 标识该组织 (Organization) 所属的租户。