Login, Home Realm Discovery og MFA
FoxIDs håndterer bruger login i login autentificeringsmetoden. Der kan konfigureres flere login autentificeringsmetoder pr. miljø med forskellige konfigurationer og look and feel.
Et miljø indeholder ét user repository og alle login autentificeringsmetoder konfigureret i et miljø autentificerer users med det samme user repository.
Når en user autentificerer, er brugerens session knyttet til login autentificeringsmetoden. Derfor kan en bruger autentificere i flere konfigurerede login autentificeringsmetoder og have flere separate bruger sessioner.
En bruger session etableres ikke i login autentificeringsmetoden hvis sessionens levetid er sat til 0 sekunder.
En OpenID Connect applikationsregistrering eller SAML 2.0 applikationsregistrering kan autentificere brugere ved at vælge en login autentificeringsmetode.
Login autentificeringsmetoden autentificerer brugere i et to trins login UI med brugernavn og adgangskode på to separate sider.
Home Realm Discovery (HRD)
Når du opretter en applikationsregistrering er det oftest den bedste løsning at bruge standard stjerne notationen (*) til at vælge alle autentificeringsmetoder.
Hvis en applikationsregistrering er konfigureret til kun at måtte bruge én autentificeringsmetode, omdirigeres brugeren straks til den pågældende autentificeringsmetode.
Hvis mere end én autentificeringsmetode er tilladt, omdirigeres brugeren til en login autentificeringsmetode, som gør det muligt at vælge en autentificeringsmetode baseret på klient IP adresse, e mail domæner eller regulære udtryk.
Login UI vises ikke hvis en autentificeringsmetode vælges baseret på klient IP adresse.
Klient IP adresse
Vælg autentificeringsmetoden baseret på klientens / PC'ens IP adresse.
Vælg efter IP adresse eller med et IP interval:
192.168.0.0/255.255.255.0vælger fra '192.168.0.0' til '192.168.0.255'192.168.10.0/24vælger fra '192.168.10.0' til '192.168.10.255'192.168.0.10 - 192.168.10.20vælger fra '192.168.0.10' til '192.168.10.20'192.168.10.10-20vælger fra '192.168.10.10' til '192.168.10.20'fe80::/10vælger f.eks. 'fe80::d503:4ee:3882:c586%3'
E mail domæne
Vælg autentificeringsmetoden baseret på brugernes e mail domæne.
Vælg efter domæner eller brug (*) til at vælge alle domæner der ikke er konfigureret på en anden autentificeringsmetode.
Regulært udtryk
Vælg autentificeringsmetoden baseret på case insensitive match af brugernes e mail, telefon og brugernavn.
Vælg efter regulært udtryk:
xyz$matcher e mails og brugernavne der slutter på 'xyz'^+45matcher telefonnumre der starter med landekode '+45'abdmatcher e mails og brugernavne der indeholder 'abc'^q10.*@@xyz\.com$matcher e mails der starter med 'q10' på domænet 'xyz.com'
Det kan vælges om HRD knappen skal vises for autentificeringsmetoden selv om IP adresse / range, HRD domæne eller regulært udtryk er konfigureret.
Et eksempel på hvordan en login skærm med HRD ser ud, den kan tilpasses.
Den titel, ikon og CSS som er konfigureret på den første tilladte login autentificeringsmetode på applikationsregistreringen bruges. Uden en tilladt login autentificeringsmetode konfigureret bruges titel, ikon og CSS fra standard login autentificeringsmetoden.
To faktor autentificering (2FA/MFA)
En login autentificeringsmetode understøtter to faktor autentificering (2FA) / multi faktor autentificering (MFA) med authenticator app, SMS og e mail.
To faktor autentificering med authenticator app, SMS og e mail er som standard aktiveret og initieres hvis det kræves.
To faktor autentificering kan sættes som et krav i hver login autentificeringsmetode, pr. user eller kræves af den kaldende OpenID Connect eller SAML 2.0 applikationsregistrering.
Du kan bruge en to faktor authenticator app efter eget valg som Anthy, Google Authenticator, Microsoft Authenticator og andre.
I dette eksempel bliver brugeren bedt om at udføre to faktor autentificering med en authenticator app eller skifte til SMS eller e mail.
Et telefonnummer og e mail kan enten konfigureres som bruger identifikator eller som en claim med claim typerne phone_number og email.
To faktor autentificering typen vælges som vist i denne tabel.
| SMS to faktor aktiveret og bruger har telefonnummer | Email to faktor aktiveret og bruger har email | Bruger har registreret authenticator app | Mulige to faktor typer | Valgt to faktor type |
|---|---|---|---|---|
| false | false | false | Authenticator app | Authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS - kan registrere authenticator app efter SMS verifikation | SMS |
| true | false | true | SMS og authenticator app | Authenticator app |
| false | true | false | Email - kan registrere authenticator app efter email verifikation | |
| false | true | true | Email og authenticator app | Authenticator app |
| true | true | false | SMS og mail - kan registrere authenticator app efter SMS/email verifikation | SMS |
| true | true | true | SMS, email og authenticator app | Authenticator app |
Login konfiguration
En standard login autentificeringsmetode oprettes i hvert miljø.
Den standard login med navnet
loginkan ændres men ikke slettes, vær forsigtig da du kan miste adgang.
Den titel, ikon og CSS som er konfigureret på standard login autentificeringsmetoden bruges i tilfælde hvor ingen login autentificeringsmetode er valgt f.eks. på fejl siden eller under HRD valg uden en login autentificeringsmetode.
Konfigurer login muligheder
Det kan konfigureres om brugere må sætte deres adgangskode, om brugere må oprette en ny bruger online, hvilke bruger identifikatorer der skal bruges, og om brugeren skal logge ind med en adgangskode eller engangs adgangskode (OTP) via e mail eller SMS.
UI kan tilpasses og meget mere.
Nye brugere kan oprettes af administratoren via Control Client eller provisioneres via Control API.
Konfigurer to faktor autentificering (2FA)
De to faktor muligheder kan ændres og authenticator app navnet der vises for brugerne kan ændres. Navnet er som standard sat til tenantens navn. Du vil sandsynligvis ændre navnet til noget mere læsbart.
Du kan vælge at kræve to faktor autentificering for alle brugere der autentificerer ved hjælp af login autentificeringsmetoden.
Konfigurer bruger session
Klik Show advanced for at ændre bruger sessionernes levetid. Standard levetid er 10 timer.
Bruger sessionen er en glidende session, hvor levetiden forlænges hver gang en applikation laver en login request indtil den absolutte session levetid er nået.
Det er muligt at konfigurere en absolut session levetid eller ej.
Bruger sessionen kan ændres til en persistent session som bevares når browseren lukkes og åbnes igen.
Bruger sessionen bliver en persistent session hvis enten den persistent session levetid er konfigureret til at være større end 0. Eller den persistent session levetid unlimited indstilling er sat til Yes.
Klik
User sessiontagget for at se alle session indstillinger.
Konfigurer claims
Du kan ændre claims og lave claim tasks med claim transforms og claim tasks.