Interne brugere

Interne brugere kan autentificeres i en eller flere login autentificeringsmetoder i et miljø, hvilket gør det muligt at tilpasse login oplevelsen, f.eks. afhængigt af forskellige applikations krav.

Upload dine brugere fra en CSV fil, med eller uden adgangskode.

For et overblik over brugerkoncepter (interne brugere, eksterne brugere og eksterne brugerlager) se bruger overblik.

Bruger identifikatorer

Interne brugere understøtter tre bruger identifikatorer: e-mail, telefonnummer og brugernavn. Disse identifikatorer udgør credential (brugernavn delen), når en bruger logger ind med brugernavn og adgangskode.
Du kan vælge at aktivere en, to eller alle tre.

Kun telefonnummer som bruger identifikator.

E-mail, telefonnummer og brugernavn som bruger identifikatorer.

Adgangskode check

Interne brugere kan autentificeres med en adgangskode. Adgangskoden kontrolleres mod den indbyggede adgangskodepolitik (standard eller politikgruppe) og eventuelt en ekstern adgangskode API.

Indbygget adgangskodepolitik og aging

Standard adgangskodepolitik konfigureres i miljøindstillingerne i FoxIDs Control Client og gælder når ingen adgangskodepolitikgruppe er tildelt brugeren.

Vælg fanen Settings
Vælg derefter fanen Environment
Find sektionen Password settings
Konfigurer boksen Default password policy:
- Password min length og Password max length for at definere det tilladte interval.
- Check password complexity for at håndhæve tegnklasser og sikre at adgangskoden ikke indeholder dele af URL'en eller bruger identifikatorer (e-mail, telefon, brugernavn).
- Check password risk based on global password breaches for at afvise adgangskoder fundet på risikolister (self-hosted se risk Passwords).
- Banned characters (case-insensitive) for at blokere specifikke tegn.
- Password history (number of previous passwords, 0 to disable) for at forhindre genbrug af nylige adgangskoder.
- Password max age in seconds (0 to disable) for at tvinge ændring når en adgangskode bliver for gammel.
- Soft password change in seconds (0 to disable) for at tillade en graceperiode: under login bliver en ikke kompatibel eller udløbet adgangskode bedt om ændring men kan stadig logge ind indtil perioden udløber.
Klik Update

Indbygget adgangskodepolitik

Adgangskodepolitikgrupper

Du kan definere op til 10 adgangskodepolitikgrupper per miljø. En gruppe overskriver standard adgangskodepolitikken for de brugere den er tildelt.

Vælg fanen Settings
Vælg derefter fanen Environment
Find sektionen Password settings
Konfigurer boksen Password policy groups:
- Klik Add policy group og sæt politik værdierne (samme felter som standard politikken) plus et navn og et valgfrit visningsnavn.
Klik Update
Anvend en gruppe på en bruger i Internal Users → rediger brugeren → Advanced → Password policy, eller sæt adgangskodepolitiknavnet ved provisionering via Control API. Hvis ingen gruppe er valgt, bruges standard miljøpolitik.

Ekstern adgangskode API

Du kan valgfrit konfigurere en ekstern adgangskode API til at validere adgangskoder og/eller notificere om adgangskodeændringer.

Hvis den indbyggede adgangskodepolitik afviser adgangskoden, kaldes den eksterne adgangskode API ikke. Den eksterne adgangskode API's notifikationsmetode kaldes kun hvis adgangskoden har bestået alle konfigurerede politikchecks.

Adgangskode eller engangskode (passwordless)

Login autentificeringsmetoden er som standard konfigureret til brugernavn (bruger identifikator) + adgangskode.
Du kan derudover aktivere engangskode (OTP) via e-mail og/eller SMS til passwordless login, og du kan oprette flere login autentificeringsmetoder med forskellige kombinationer.

Hvis både adgangskode og OTP er aktiveret, tilbydes alle aktiverede metoder. UI'et tillader også selvbetjent konto oprettelse.
Login med adgangskode eller vælg login med engangskode via e-mail eller SMS

Hvis kun OTP via e-mail er aktiveret:
Login med engangskode via e-mail

Opret bruger

Afhængigt af den valgte login metode konfiguration kan brugere oprette en konto online.

Bruger vælger at oprette en ny konto på login siden.
Vælg opret en konto online

Form til oprettelse af bruger.
Nye brugere opretter en konto online

Siden består af dynamiske elementer som kan tilpasses per login metode.
I dette eksempel indeholder formularen felterne Fornavn, Efternavn, E-mail og Adgangskode.
E-mail feltet er en bruger identifikator der bruges til login.

Dette er konfigurationen i login metoden. Derudover tilføjes claim some_custom_claim til hver bruger som en konstant via en claim transformation.
Login konfiguration - opret en konto online

Provisionering

Interne brugere kan oprettes, opdateres og slettes i Control Client eller provisioneres via Control API. Og upload mange brugere fra en CSV fil. Configure Login

Multi-faktor autentifikation (MFA)

To faktor / multi faktor autentifikation kan kræves per bruger. En bruger skal derefter autentificere med en ekstra faktor (SMS, e-mail eller authenticator app) og kan registrere en authenticator app hvis den ikke allerede er registreret.

Hvilke anden faktorer der er tilgængelige kan konfigureres per bruger og per login metode. Se to faktor autentifikation.
Du kan se om en authenticator app er registreret og en administrator kan deaktivere den.
Configure Login

Adgangskode hash

Kun en adgangskode hash gemmes.

Hashing subsystemet understøtter udvikling: hash metadata (algoritme + parametre) gemmes med hver hash, hvilket gør det muligt at validere gamle hashes mens nye hashes bruger nyere algoritmer / parametre.

Aktuelt understøttet hash algoritme P2HS512:10 (definition):

HMAC (RFC 2104) med SHA-512 (FIPS 180-4)
10 iterationer gemt i hash metadata, ganget med 10.000 PBKDF2 runder (100.000 totale iterationer)
Salt længde: 64 bytes
Afledt nøglelængde: 80 bytes
Hash og salt gemmes som Base64 URL kodede strenge (Base64 uden padding)

Standard .NET biblioteker bruges til at beregne hash.