Interne Benutzer

Interne Benutzer können in einer oder mehreren Login Authentifizierungsmethoden in einer Umgebung authentifiziert werden, wodurch es möglich ist, das Login Erlebnis zu customisieren, z. B. abhängig von unterschiedlichen Anwendungs Anforderungen.

Laden Sie Ihre Benutzer hoch aus einer CSV Datei, mit oder ohne Passwort.

Für einen Überblick über Benutzerkonzepte (interne Benutzer, externe Benutzer und externe Benutzer Stores) siehe die Benutzer Übersicht.

Benutzer Identifikatoren

Interne Benutzer unterstützen drei Benutzer Identifikatoren: E-Mail, Telefonnummer und Benutzername. Diese Identifikatoren bilden die Credential (Benutzername Teil), wenn sich ein Benutzer mit Benutzername und Passwort anmeldet.
Sie können einen, zwei oder alle drei aktivieren.

Nur Telefonnummer als Benutzer Identifikator.
Telefonnummer als Benutzer Identifikator

E-Mail, Telefonnummer und Benutzername als Benutzer Identifikatoren.
E-Mail, Telefonnummer und Benutzername als Benutzer Identifikator

Passwort Prüfung

Interne Benutzer können mit einem Passwort authentifiziert werden. Das Passwort wird gegen die integrierte Passwort Richtlinie (Standard oder Richtliniengruppe) und optional eine externe Passwort API geprüft.

Integrierte Passwort Richtlinie und Aging

Die Standard Passwort Richtlinie wird in den Umgebungseinstellungen im FoxIDs Control Client konfiguriert und gilt, wenn keinem Benutzer eine Passwort Richtliniengruppe zugeordnet ist.

  1. Wählen Sie den Tab Settings
  2. Wählen Sie anschließend den Tab Environment
  3. Finden Sie den Abschnitt Password settings
  4. Konfigurieren Sie die Box Default password policy:
    • Password min length und Password max length, um den erlaubten Bereich zu definieren.
    • Check password complexity, um Zeichenklassen Vielfalt durchzusetzen und sicherzustellen, dass das Passwort keine Teile der URL oder Benutzer Identifikatoren (E-Mail, Telefon, Benutzername) enthält.
    • Check password risk based on global password breaches, um Passwörter zu verwerfen, die auf Risiko Listen stehen (self-hosted siehe risk Passwords).
    • Banned characters (case-insensitive), um bestimmte Zeichen zu blockieren.
    • Password history (number of previous passwords, 0 to disable), um die Wiederverwendung kürzlich verwendeter Passwörter zu verhindern.
    • Password max age in seconds (0 to disable), um einen Passwortwechsel zu erzwingen, wenn das Passwort zu alt ist.
    • Soft password change in seconds (0 to disable), um eine Kulanzfrist zu ermöglichen: Beim Login wird ein nicht konformes oder abgelaufenes Passwort zum Ändern aufgefordert, aber der Benutzer kann sich weiterhin anmelden, bis das Zeitfenster abläuft.
  5. Klicken Sie Update

Integrierte Passwort Richtlinie

Passwort Richtliniengruppen

Sie können bis zu 10 Passwort Richtliniengruppen pro Umgebung definieren. Eine Gruppe überschreibt die Standard Passwort Richtlinie für die Benutzer, denen sie zugewiesen ist.

  1. Wählen Sie den Tab Settings
  2. Wählen Sie anschließend den Tab Environment
  3. Finden Sie den Abschnitt Password settings
  4. Konfigurieren Sie die Box Password policy groups:
    • Klicken Sie Add policy group und setzen Sie die Richtlinienwerte (dieselben Felder wie die Standard Richtlinie) plus einen Namen und einen optionalen Anzeigenamen.
  5. Klicken Sie Update
  6. Weisen Sie eine Gruppe einem Benutzer zu in Internal Users → Benutzer bearbeiten → AdvancedPassword policy, oder setzen Sie den Passwort Richtliniennamen bei der Provisionierung über die Control API. Wenn keine Gruppe ausgewählt ist, wird die Standard Umgebung Richtlinie verwendet.

Externe Passwort API

Sie können optional eine externe Passwort API konfigurieren, um Passwörter zu validieren und/oder über Passwort Änderungen zu informieren.

Wenn die integrierte Passwort Richtlinie das Passwort ablehnt, wird die externe Passwort API nicht aufgerufen. Die Benachrichtigungs Methode der externen Passwort API wird nur aufgerufen, wenn das Passwort alle konfigurierten Richtlinien Prüfungen bestanden hat.

Passwort oder Einmalpasswort (passwordless)

Die Login Authentifizierungsmethode ist standardmäßig für Benutzername (Benutzer Identifikator) + Passwort konfiguriert.
Sie können zusätzlich Einmalpasswort (OTP) per E-Mail und/oder SMS für passwordless Login aktivieren, und Sie können mehrere Login Authentifizierungsmethoden mit unterschiedlichen Kombinationen erstellen.

Wenn sowohl Passwort als auch OTP aktiviert sind, werden alle aktivierten Methoden angeboten. Die UI ermöglicht auch eine Self-Service Konto Erstellung.
Login mit Passwort oder Auswahl, sich mit Einmalpasswort per E-Mail oder SMS anzumelden

Wenn nur OTP per E-Mail aktiviert ist:
Login mit Einmalpasswort per E-Mail

Benutzer erstellen

Abhängig von der ausgewählten Login Methode Konfiguration können Benutzer online ein Konto erstellen.

Benutzer wählt auf der Login Seite die Erstellung eines neuen Kontos.
Auswahl: Konto online erstellen

Formular zum Erstellen eines Benutzers.
Neue Benutzer erstellen ein Konto online

Die Seite besteht aus dynamischen Elementen, die pro Login Methode angepasst werden können.
In diesem Beispiel enthält das Formular die Felder Vorname, Nachname, E-Mail und Passwort.
Das E-Mail Feld ist ein Benutzer Identifikator, der für Login verwendet wird.

Dies ist die Konfiguration in der Login Methode. Zusätzlich wird die Claim some_custom_claim für jeden Benutzer als Konstante über eine Claim Transformation hinzugefügt.
Login Konfiguration - Konto online erstellen

Provisionierung

Interne Benutzer können im Control Client erstellt, aktualisiert und gelöscht oder über die Control API provisioniert werden. Und viele Benutzer hochladen aus einer CSV Datei. Configure Login

Multi-Faktor-Authentifizierung (MFA)

Zwei Faktor / Multi Faktor Authentifizierung kann pro Benutzer erforderlich sein. Ein Benutzer muss dann mit einem zusätzlichen Faktor (SMS, E-Mail oder Authenticator App) authentifizieren und kann eine Authenticator App registrieren, falls noch nicht registriert.

Welche zweiten Faktoren verfügbar sind, kann pro Benutzer und pro Login Methode konfiguriert werden. Siehe zwei Faktor Authentifizierung.
Sie können sehen, ob eine Authenticator App registriert ist und ein Administrator kann sie deaktivieren.
Configure Login

Passwort Hash

Es wird nur ein Passwort Hash gespeichert.

Das Hashing Subsystem unterstützt Weiterentwicklung: Hash Metadaten (Algorithmus + Parameter) werden mit jedem Hash gespeichert, wodurch alte Hashes validiert werden können, während neue Hashes neuere Algorithmen / Parameter verwenden.

Derzeit unterstützter Hash Algorithmus P2HS512:10 (Definition):

  • HMAC (RFC 2104) mit SHA-512 (FIPS 180-4)
  • 10 Iterationen im Hash Metadaten, multipliziert mit 10.000 PBKDF2 Runden (100.000 Gesamt Iterationen)
  • Salt Länge: 64 Byte
  • Abgeleitete Schlüssellänge: 80 Byte
  • Hash und Salt werden als Base64 URL codierte Strings gespeichert (Base64 ohne Padding)

Standard .NET Bibliotheken werden zur Berechnung des Hash verwendet.

Ihre Privatsphäre

Wir verwenden Cookies, um Ihre Erfahrung auf unseren Websites zu verbessern. Klicken Sie auf 'Alle Cookies akzeptieren', um der Verwendung von Cookies zuzustimmen. Um nicht notwendige Cookies abzulehnen, klicken Sie auf 'Nur notwendige Cookies'.

Weitere Informationen finden Sie in unserer Datenschutzerklärung