Login, Home Realm Discovery and MFA
FoxIDs gestiona el inicio de sesión de usuarios en el método de autenticación login. Se pueden configurar varios métodos de autenticación login por entorno con distintas configuraciones y look and feel.
Un entorno contiene un repositorio de usuarios y todos los métodos de autenticación login configurados en un entorno autentican usuarios con el mismo repositorio de usuarios.
Cuando un usuario se autentica, la sesión del usuario se asocia con el método de autenticación login. Por lo tanto, un usuario puede autenticarse en varios métodos de autenticación login configurados y tener varias sesiones de usuario separadas.
Una sesión de usuario no se establece en el método de autenticación login si la duración de la sesión se establece en 0 segundos.
Un registro de aplicación OpenID Connect o un registro de aplicación SAML 2.0 puede autenticar usuarios seleccionando un método de autenticación login.
El método de autenticación login autentica a los usuarios en una UI de inicio de sesión de dos pasos, con el usuario y la contraseña en dos páginas separadas.
Home Realm Discovery (HRD)
Cuando creas un registro de aplicación, la solución más común es usar la notación de estrella por defecto (*) para seleccionar todos los métodos de autenticación.
Si un registro de aplicación está configurado para permitir solo un método de autenticación, el usuario es redirigido inmediatamente a ese método de autenticación.
Si se permite más de un método de autenticación, el usuario es redirigido a un método de autenticación login que permite seleccionar un método de autenticación por dirección IP del cliente, dominios de email o expresiones regulares.
La UI de inicio de sesión no se muestra si se selecciona un método de autenticación según la dirección IP del cliente.
Dirección IP del cliente
Selecciona el método de autenticación según la dirección IP del dispositivo / PC del cliente.
Seleccionar por dirección IP o por un rango de IP:
192.168.0.0/255.255.255.0selecciona desde '192.168.0.0' hasta '192.168.0.255'192.168.10.0/24selecciona desde '192.168.10.0' hasta '192.168.10.255'192.168.0.10 - 192.168.10.20selecciona desde '192.168.0.10' hasta '192.168.10.20'192.168.10.10-20selecciona desde '192.168.10.10' hasta '192.168.10.20'fe80::/10selecciona por ejemplo 'fe80::d503:4ee:3882:c586%3'
Dominio de email
Selecciona el método de autenticación según el dominio de email del usuario.
Selecciona por dominios o usa (*) para seleccionar todos los dominios no configurados en otro método de autenticación.
Expresión regular
Selecciona el método de autenticación según la coincidencia de expresión regular sin distinción entre mayúsculas y minúsculas del email, teléfono y nombre de usuario del usuario.
Seleccionar por expresión regular:
xyz$coincide con emails y nombres de usuario que terminan con 'xyz'^+45coincide con números de teléfono que comienzan con el código telefónico '+45'abdcoincide con emails y nombres de usuario que contienen 'abc'^q10.*@@xyz\.com$coincide con emails que comienzan con 'q10' en el dominio 'xyz.com'
Se puede seleccionar si el botón HRD debe mostrarse para el método de autenticación incluso si la dirección IP / rango, el dominio HRD o la expresión regular está configurada.
Un ejemplo de cómo se ve una pantalla de inicio de sesión con HRD, puede ser personalizada.
El título, el icono y el CSS configurados en el primer método de autenticación login permitido en el registro de aplicación se usan. Si no hay un método de autenticación login permitido configurado, se usa el título, icono y CSS del método de autenticación login predeterminado.
Two-factor authentication (2FA/MFA)
Un método de autenticación login admite autenticación de dos factores (2FA) / autenticación multi factor (MFA) con una app de autenticación, SMS y email.
La autenticación de dos factores con una app de autenticación, SMS y email está habilitada por defecto y se inicia si es necesario.
La autenticación de dos factores se puede establecer como requisito en cada método de autenticación login, por usuario o requerida por el OpenID Connect o el registro de aplicación SAML 2.0 que llama.
Puedes usar una app de autenticación de dos factores de tu elección como Anthy, Google Authenticator, Microsoft Authenticator y otras.
En este ejemplo se solicita al usuario realizar autenticación de dos factores con una app de autenticación o cambiar para usar SMS o email.
Un número de teléfono y un email pueden configurarse como identificador de usuario o como claim con los tipos de claim phone_number y email.
El tipo de autenticación de dos factores se selecciona como se muestra en esta tabla.
| SMS two-factor enabled and user has phone number | Email two-factor enabled and user has email | User has registered authenticator app | Possible two-factor type(s) | Selected two-factor type |
|---|---|---|---|---|
| false | false | false | Authenticator app | Authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS - can register authenticator app after SMS verification | SMS |
| true | false | true | SMS and authenticator app | Authenticator app |
| false | true | false | Email - can register authenticator app after email verification | |
| false | true | true | Email and authenticator app | Authenticator app |
| true | true | false | SMS and mail - can register authenticator app after SMS/email verification | SMS |
| true | true | true | SMS, email and authenticator app | Authenticator app |
Configuración de login
Se crea un método de autenticación login predeterminado en cada entorno.
El login predeterminado con el nombre
loginpuede cambiarse pero no eliminarse, ten cuidado ya que podrías perder acceso.
El título, el icono y el CSS configurados en el método de autenticación login predeterminado se usan en el caso de que no se seleccione ningún método de autenticación login, por ejemplo, en la página de error o durante la selección de HRD sin un método de autenticación login.
Configurar opciones de login
Se puede configurar si los usuarios deben estar autorizados a establecer su contraseña, si los usuarios pueden crear un nuevo usuario en línea, qué identificadores de usuario utilizar y si el usuario debe iniciar sesión con una contraseña o una contraseña de un solo uso (OTP) por email o SMS.
La UI se puede personalizar y mucho más.
Los nuevos usuarios pueden ser creados por el administrador a través del Control Client o provisionados a través de la Control API.
Configurar autenticación de dos factores (2FA)
Las opciones de dos factores pueden cambiarse y el nombre de la app de autenticación mostrado a los usuarios puede cambiarse. El nombre se establece por defecto en el nombre del tenant. Probablemente quieras cambiar el nombre por algo más legible.
Puedes seleccionar que se requiera autenticación de dos factores para todos los usuarios que se autentican usando el método de autenticación login.
Configurar sesión de usuario
Haz clic en Show advanced para cambiar la duración de las sesiones de usuario. La duración por defecto es de 10 horas.
La sesión de usuario es una sesión deslizante, en la que la duración se extiende cada vez que una aplicación realiza una solicitud de inicio de sesión hasta alcanzar la duración absoluta de la sesión.
Es posible configurar una duración absoluta de sesión o no.
La sesión de usuario puede cambiarse a una sesión persistente que se conserva cuando el navegador se cierra y se vuelve a abrir.
La sesión de usuario se convierte en persistente si la duración de la sesión persistente se configura en más de 0. O si la opción de duración ilimitada de la sesión persistente se establece en Yes.
Haz clic en la etiqueta
User sessionpara ver todos los ajustes de la sesión.
Configurar claims
Puedes cambiar los claims y realizar tareas de claims con transformaciones de claims y tareas de claims.