Utenti interni

Gli utenti interni possono autenticarsi in uno o piu metodi di autenticazione login in un ambiente. Questo rende possibile personalizzare l'esperienza di accesso per diversi requisiti di applicazione.

Carica i tuoi utenti da un file CSV, con o senza password.

Per una panoramica dei concetti utente, come utenti interni, utenti esterni e archivi utenti esterni, consulta la panoramica utenti.

Agli utenti interni possono anche essere assegnate membership della struttura di accesso per modellare accessi gerarchici e risolvere i claim di accesso durante il login.

Identificatori utente

Gli utenti interni supportano tre identificatori utente: email, numero di telefono e username. Questi identificatori formano la credenziale, cioe la parte username quando un utente accede con username e password.

Configure user identifiers in login authentication method

Puoi abilitare uno, due o tutti e tre gli identificatori nel metodo di autenticazione login. Se e abilitato piu di un identificatore, l'utente puo accedere con qualsiasi identificatore abilitato.

Solo numero di telefono come identificatore utente.
Phone number as user identifier

Email, numero di telefono e username come identificatori utente.
Email, phone number and username as user identifier

Verifica password

Gli utenti interni possono autenticarsi con una password. La password viene validata rispetto alla policy password integrata (predefinita o gruppo di policy) e, facoltativamente, a una external password API.

Puoi anche abilitare Directory Connector per l'ambiente. In tal caso, l'autenticazione della password e il ciclo di vita della password vengono delegati a una directory esterna autorevole mentre gli utenti rimangono utenti interni in FoxIDs.

Policy password integrata e scadenza

La policy password predefinita e configurata nelle impostazioni dell'ambiente in FoxIDs Control Client e si applica quando all'utente non e assegnato alcun gruppo di policy password.

  1. Seleziona la scheda Settings.
  2. Seleziona la scheda Environment.
  3. Trova la sezione Password settings.
  4. Configura il riquadro Default password policy:
    • Password min length e Password max length definiscono l'intervallo consentito.
    • Check password complexity impone varieta nelle classi di caratteri e assicura che la password non contenga parti dell'URL o identificatori utente come email, telefono o username.
    • Check password risk based on global password breaches rifiuta password trovate in elenchi di rischio. Per distribuzioni self-hosted, consulta risk passwords.
    • Banned characters (case-insensitive) blocca caratteri specifici.
    • Password history (number of previous passwords, 0 to disable) impedisce il riutilizzo di password recenti.
    • Password max age in seconds (0 to disable) forza il cambio quando una password diventa troppo vecchia.
    • Soft password change in seconds (0 to disable) consente un periodo di tolleranza. Durante il login, una password non conforme o scaduta invita l'utente a cambiarla, ma l'utente puo comunque accedere fino alla scadenza del periodo di tolleranza.
  5. Fai clic su Update.

Built-in password policy

Gruppi di policy password

Puoi definire fino a 10 gruppi di policy password per ambiente. Un gruppo sovrascrive la policy password predefinita per gli utenti a cui e assegnato.

  1. Seleziona la scheda Settings.
  2. Seleziona la scheda Environment.
  3. Trova la sezione Password settings.
  4. Configura il riquadro Password policy groups.
  5. Fai clic su Add policy group e imposta i valori della policy, che sono gli stessi campi della policy predefinita, piu un nome e un display name facoltativo.
  6. Fai clic su Update.

Applica un gruppo a un utente in Internal Users → modifica utente → AdvancedPassword policy, oppure imposta il nome della policy password durante il provisioning tramite la Control API. Se non viene selezionato alcun gruppo, viene usata la policy predefinita dell'ambiente.

External password API

Puoi configurare facoltativamente una external password API per validare le password e/o ricevere notifiche sulle modifiche password.

Se la policy password integrata rifiuta la password, la external password API non viene chiamata. Il metodo di notifica della external password API viene chiamato solo se la password supera tutti i controlli di policy configurati.

Password o one-time password (passwordless)

Il metodo di autenticazione login e configurato per impostazione predefinita con identificatore utente piu password.

Puoi anche abilitare one-time password (OTP) via email e/o SMS per l'accesso passwordless, e puoi creare piu metodi di autenticazione login con combinazioni diverse.

Se sono abilitati sia password sia OTP, vengono offerti tutti i metodi abilitati. La UI puo anche consentire la creazione self-service dell'account.
Login with password or select to login with one-time password via email or SMS

Se e abilitato solo OTP via email:
Login with one-time password via email

Creare utente

A seconda della configurazione del metodo login selezionato, gli utenti possono creare un account online.

L'utente sceglie di creare un nuovo account nella pagina di login.
Select create an account online

Questo esempio mostra il modulo di creazione utente.
New users create an account online

La pagina e composta da elementi dinamici che possono essere personalizzati per ogni metodo login. In questo esempio il modulo contiene i campi Given name, Family name, Email e Password. Il campo Email e l'identificatore utente usato per l'accesso.

Questa e la configurazione nel metodo login. Inoltre, il claim some_custom_claim viene aggiunto a ogni utente come costante tramite una claim transform.
Login configuration - create an account online

Provisioning

Gli utenti interni possono essere creati, aggiornati ed eliminati nel Control Client oppure provisioned tramite la Control API. Puoi anche caricare molti utenti da un file CSV. Configure user

Autenticazione multifattore (MFA)

L'autenticazione a due fattori e multifattore puo essere richiesta per utente. L'utente deve quindi completare un fattore aggiuntivo e puo registrare un'app autenticatrice se non e gia registrata.

I fattori disponibili sono determinati dal metodo di autenticazione login e dai dati e dalle impostazioni dell'utente. Consulta autenticazione a due fattori e multifattore.

Puoi vedere se un'app autenticatrice e registrata, e un amministratore puo disattivarla.
Configure user MFA

Hash della password

Viene salvato solo un hash della password.

Il sottosistema di hashing supporta l'evoluzione. I metadati dell'hash, cioe algoritmo e parametri, vengono salvati con ciascun hash in modo che i vecchi hash possano ancora essere validati mentre i nuovi hash usano algoritmi o parametri piu recenti.

Algoritmo hash attualmente supportato P2HS512:10:

  • HMAC (RFC 2104) con SHA-512 (FIPS 180-4)
  • 10 iterazioni salvate nei metadati dell'hash, moltiplicate per 10.000 round PBKDF2 per un totale di 100.000 iterazioni
  • Lunghezza salt: 64 byte
  • Lunghezza chiave derivata: 80 byte
  • Hash e salt vengono salvati come stringhe Base64 URL encoded, cioe Base64 senza padding

Per calcolare l'hash vengono usate librerie standard .NET.

La tua privacy

La tua privacy

Usiamo i cookie per migliorare la tua esperienza sui nostri siti. Fai clic sul pulsante 'Accetta tutti i cookie' per acconsentire all'uso dei cookie. Per rifiutare i cookie non essenziali, fai clic su 'Solo cookie necessari'.

Visita la nostra pagina di Informativa sulla privacy per saperne di più