Login, Home Realm Discovery und MFA
FoxIDs verarbeitet Benutzer Login in der Login Authentifizierungsmethode. Pro Environment können mehrere Login Authentifizierungsmethoden mit unterschiedlichen Konfigurationen und Look and Feel konfiguriert werden.
Ein Environment enthält ein user repository und alle in einem Environment konfigurierten Login Authentifizierungsmethoden authentifizieren users mit demselben user repository.
Wenn ein user authentifiziert, ist die Sitzung des Benutzers mit der Login Authentifizierungsmethode verknüpft. Daher kann ein Benutzer in mehreren konfigurierten Login Authentifizierungsmethoden authentifizieren und mehrere separate Benutzer Sitzungen haben.
Eine Benutzer Sitzung wird in der Login Authentifizierungsmethode nicht eingerichtet, wenn die Sitzungsdauer auf 0 Sekunden gesetzt ist.
Eine OpenID Connect Anwendungsregistrierung oder SAML 2.0 Anwendungsregistrierung kann Benutzer authentifizieren, indem eine Login Authentifizierungsmethode ausgewählt wird.
Die Login Authentifizierungsmethode authentifiziert Benutzer in einem zweistufigen Login UI mit Benutzernamen und Passwort Eingabe auf zwei separaten Seiten.
Home Realm Discovery (HRD)
Wenn du eine Anwendungsregistrierung erstellst, ist es meist die beste Lösung, die Standard Stern Notation (*) zu verwenden, um alle Authentifizierungsmethoden auszuwählen.
Wenn eine Anwendungsregistrierung so konfiguriert ist, dass sie nur eine Authentifizierungsmethode verwenden darf, wird der Benutzer sofort zu dieser Authentifizierungsmethode umgeleitet.
Wenn mehr als eine Authentifizierungsmethode zulässig ist, wird der Benutzer zu einer Login Authentifizierungsmethode umgeleitet, die es ermöglicht, eine Authentifizierungsmethode anhand der Client IP Adresse, E Mail Domains oder regulären Ausdrücken auszuwählen.
Das Login UI wird nicht angezeigt, wenn eine Authentifizierungsmethode anhand der Client IP Adresse ausgewählt wird.
Client IP Adresse
Wähle die Authentifizierungsmethode basierend auf der IP Adresse des Client Geräts / PCs.
Auswahl nach IP Adresse oder mit einem IP Bereich:
192.168.0.0/255.255.255.0wählt von '192.168.0.0' bis '192.168.0.255'192.168.10.0/24wählt von '192.168.10.0' bis '192.168.10.255'192.168.0.10 - 192.168.10.20wählt von '192.168.0.10' bis '192.168.10.20'192.168.10.10-20wählt von '192.168.10.10' bis '192.168.10.20'fe80::/10wählt z.B. 'fe80::d503:4ee:3882:c586%3'
E Mail Domain
Wähle die Authentifizierungsmethode basierend auf der E Mail Domain der Benutzer.
Wähle nach Domains oder verwende (*), um alle Domains auszuwählen, die nicht in einer anderen Authentifizierungsmethode konfiguriert sind.
Regulärer Ausdruck
Wähle die Authentifizierungsmethode basierend auf case insensitive Regular Expression Match der Benutzer E Mail, Telefonnummer und Benutzername.
Auswahl nach regulärem Ausdruck:
xyz$matcht E Mails und Benutzernamen, die mit 'xyz' enden^+45matcht Telefonnummern, die mit der Ländervorwahl '+45' beginnenabdmatcht E Mails und Benutzernamen, die 'abc' enthalten^q10.*@@xyz\.com$matcht E Mails, die mit 'q10' auf der Domain 'xyz.com' beginnen
Es kann ausgewählt werden, ob der HRD Button für die Authentifizierungsmethode angezeigt werden soll, auch wenn IP Adresse / Range, HRD Domain oder regulärer Ausdruck konfiguriert sind.
Ein Beispiel dafür, wie ein Login Bildschirm mit HRD aussieht, er kann angepasst werden.
Der Titel, das Icon und CSS, die auf der ersten erlaubten Login Authentifizierungsmethode der Anwendungsregistrierung konfiguriert sind, werden verwendet. Ohne eine erlaubte Login Authentifizierungsmethode wird der Titel, das Icon und CSS der Standard Login Authentifizierungsmethode verwendet.
Zwei Faktor Authentifizierung (2FA/MFA)
Eine Login Authentifizierungsmethode unterstützt Zwei Faktor Authentifizierung (2FA) / Multi Faktor Authentifizierung (MFA) mit einer Authenticator App, SMS und E Mail.
Zwei Faktor Authentifizierung mit Authenticator App, SMS und E Mail ist standardmäßig aktiviert und wird bei Bedarf initiiert.
Zwei Faktor Authentifizierung kann als Anforderung in jeder Login Authentifizierungsmethode festgelegt werden, pro user oder von der aufrufenden OpenID Connect oder SAML 2.0 Anwendungsregistrierung verlangt werden.
Du kannst eine Zwei Faktor Authenticator App deiner Wahl verwenden wie Anthy, Google Authenticator, Microsoft Authenticator und andere.
In diesem Beispiel wird der Benutzer aufgefordert, Zwei Faktor Authentifizierung mit einer Authenticator App zu verwenden oder auf SMS oder E Mail zu wechseln.
Eine Telefonnummer und E Mail kann entweder als Benutzer Identifikator oder als Claim mit den Claim Typen phone_number und email konfiguriert werden.
Der Zwei Faktor Authentifizierungstyp wird wie in dieser Tabelle ausgewählt.
| SMS Zwei Faktor aktiviert und Benutzer hat Telefonnummer | Email Zwei Faktor aktiviert und Benutzer hat Email | Benutzer hat Authenticator App registriert | Mögliche Zwei Faktor Typ(en) | Ausgewählter Zwei Faktor Typ |
|---|---|---|---|---|
| false | false | false | Authenticator App | Authenticator App |
| false | false | true | Authenticator App | Authenticator App |
| true | false | false | SMS - kann nach SMS Verifikation Authenticator App registrieren | SMS |
| true | false | true | SMS und Authenticator App | Authenticator App |
| false | true | false | Email - kann nach Email Verifikation Authenticator App registrieren | |
| false | true | true | Email und Authenticator App | Authenticator App |
| true | true | false | SMS und Mail - kann nach SMS/Email Verifikation Authenticator App registrieren | SMS |
| true | true | true | SMS, email und Authenticator App | Authenticator App |
Login Konfiguration
In jedem Environment wird eine Standard Login Authentifizierungsmethode erstellt.
Der Standard Login mit dem Namen
loginkann geändert, aber nicht gelöscht werden. Sei vorsichtig, da du den Zugriff verlieren kannst.
Der Titel, das Icon und CSS, der auf der Standard Login Authentifizierungsmethode konfiguriert ist, wird verwendet, wenn keine Login Authentifizierungsmethode ausgewählt ist, z.B. auf der Fehlerseite oder während der HRD Auswahl ohne eine Login Authentifizierungsmethode.
Login Optionen konfigurieren
Es kann konfiguriert werden, ob Benutzer ihr Passwort setzen dürfen, ob Benutzer einen neuen Benutzer online erstellen dürfen, welche Benutzer Identifikatoren zu verwenden sind und ob der Benutzer sich mit einem Passwort oder einem Einmalpasswort (OTP) per E Mail oder SMS anmelden soll.
Das UI kann angepasst werden und vieles mehr.
Neue Benutzer können vom Administrator über den Control Client erstellt oder über die Control API provisioniert werden.
Zwei Faktor Authentifizierung (2FA) konfigurieren
Die Zwei Faktor Optionen können geändert werden und der für die Benutzer angezeigte Authenticator App Name kann geändert werden. Der Name ist standardmäßig auf den Tenant Namen gesetzt. Du möchtest den Namen wahrscheinlich in etwas verständlicheres ändern.
Du kannst wählen, ob Zwei Faktor Authentifizierung für alle Benutzer erforderlich ist, die die Login Authentifizierungsmethode verwenden.
Benutzer Sitzung konfigurieren
Klicke Show advanced, um die Lebensdauer der Benutzer Sitzungen zu ändern. Die Standard Lebensdauer beträgt 10 Stunden.
Die Benutzer Sitzung ist eine Sliding Session, bei der die Lebensdauer jedes Mal verlängert wird, wenn eine Anwendung einen Login Request stellt, bis die absolute Sitzungslebensdauer erreicht ist.
Es ist möglich, eine absolute Sitzungslebensdauer zu konfigurieren oder nicht.
Die Benutzer Sitzung kann zu einer persistenten Sitzung geändert werden, die beim Schließen und erneuten Öffnen des Browsers erhalten bleibt.
Die Benutzer Sitzung wird persistent, wenn entweder die persistent session lifetime größer als 0 konfiguriert ist oder die persistent session lifetime unlimited Einstellung auf Yes gesetzt ist.
Klicke auf das
User sessionTag, um alle Sitzungs Einstellungen zu sehen.
Claims konfigurieren
Du kannst Claims ändern und Claim Tasks mit claim transforms und claim tasks durchführen.