Login, Home Realm Discovery og MFA

FoxIDs håndterer bruker login i login autentiseringsmetoden. Det kan konfigureres flere login autentiseringsmetoder per miljø med ulike konfigurasjoner og look and feel.

Et miljø inneholder ett user repository og alle login autentiseringsmetoder konfigurert i et miljø autentiserer users med samme user repository.

Når en user autentiserer, er brukerens økt knyttet til login autentiseringsmetoden. Derfor kan en bruker autentisere i flere konfigurerte login autentiseringsmetoder og ha flere separate brukerøkter.
En brukerøkt etableres ikke i login autentiseringsmetoden hvis øktens levetid er satt til 0 sekunder.

En OpenID Connect applikasjonsregistrering eller SAML 2.0 applikasjonsregistrering kan autentisere brukere ved å velge en login autentiseringsmetode.

Login autentiseringsmetoden autentiserer brukere i et totrinns login UI med brukernavn og passord på to separate sider.

Home Realm Discovery (HRD)

Når du oppretter en applikasjonsregistrering er det som oftest den beste løsningen å bruke standard stjerne notasjon (*) for å velge alle autentiseringsmetoder. Hvis en applikasjonsregistrering er konfigurert til kun å kunne bruke én autentiseringsmetode, omdirigeres brukeren umiddelbart til den autentiseringsmetoden. Hvis mer enn én autentiseringsmetode er tillatt, omdirigeres brukeren til en login autentiseringsmetode som gjør det mulig å velge autentiseringsmetode basert på klient IP adresse, e post domener eller regulære uttrykk. Login UI vises ikke hvis en autentiseringsmetode velges basert på klient IP adresse.

Klient IP adresse
Velg autentiseringsmetode basert på klientens / PC'ens IP adresse.

Velg etter IP adresse eller med IP område:

• 192.168.0.0/255.255.255.0 velger fra '192.168.0.0' til '192.168.0.255'
• 192.168.10.0/24 velger fra '192.168.10.0' til '192.168.10.255'
• 192.168.0.10 - 192.168.10.20 velger fra '192.168.0.10' til '192.168.10.20'
• 192.168.10.10-20 velger fra '192.168.10.10' til '192.168.10.20'
• fe80::/10 velger f.eks. 'fe80::d503:4ee:3882:c586%3'

E post domene
Velg autentiseringsmetode basert på brukernes e post domene.

Velg etter domener eller bruk (*) for å velge alle domener som ikke er konfigurert på en annen autentiseringsmetode.

Regulært uttrykk
Velg autentiseringsmetode basert på case insensitive regulært uttrykk match av brukernes e post, telefon og brukernavn.

Velg etter regulært uttrykk:

• xyz$ matcher e post og brukernavn som slutter på 'xyz'
• ^+45 matcher telefonnummer som starter med landekode '+45'
• abd matcher e post og brukernavn som inneholder 'abc'
• ^q10.*@@xyz\.com$ matcher e post som starter med 'q10' på domenet 'xyz.com'

Det kan velges om HRD knappen skal vises for autentiseringsmetoden selv om IP adresse / range, HRD domene eller regulært uttrykk er konfigurert.

Et eksempel på hvordan en login skjerm med HRD ser ut, den kan tilpasses.

Den tittel, ikon og CSS som er konfigurert på den første tillatte login autentiseringsmetoden på applikasjonsregistreringen brukes. Uten en tillatt login autentiseringsmetode konfigurert brukes tittel, ikon og CSS fra standard login autentiseringsmetoden.

To faktor autentisering (2FA/MFA)

En login autentiseringsmetode støtter to faktor autentisering (2FA) / multi faktor autentisering (MFA) med authenticator app, SMS og e post.

To faktor autentisering med authenticator app, SMS og e post er som standard aktivert og initieres hvis det er nødvendig.
To faktor autentisering kan settes som krav i hver login autentiseringsmetode, per user eller kreves av den kallende OpenID Connect eller SAML 2.0 applikasjonsregistrering.

Du kan bruke en to faktor authenticator app du ønsker som Anthy, Google Authenticator, Microsoft Authenticator og andre.

I dette eksempelet blir brukeren bedt om å gjøre to faktor autentisering med en authenticator app eller bytte til SMS eller e post.

Et telefonnummer og e post kan enten konfigureres som bruker identifikator eller som en claim med claim typene phone_number og email.

To faktor autentisering typen velges som vist i denne tabellen.

Login konfigurasjon

En standard login autentiseringsmetode opprettes i hvert miljø.

Standard login med navnet login kan endres men ikke slettes, vær forsiktig da du kan miste tilgang.

Den tittel, ikon og CSS som er konfigurert på standard login autentiseringsmetoden brukes i tilfeller der ingen login autentiseringsmetode er valgt f.eks. på feilsiden eller under HRD valg uten en login autentiseringsmetode.

Konfigurer login valg

Det kan konfigureres om brukere skal få lov til å sette passordet sitt, om brukere kan opprette en ny bruker online, hvilke bruker identifikatorer som skal brukes og om brukeren skal logge inn med et passord eller engangspassord (OTP) via e post eller SMS. UI kan tilpasses og mye mer.
Nye brukere kan opprettes av administratoren via Control Client eller provisioneres via Control API.

Konfigurer to faktor autentisering (2FA)

To faktor valg kan endres og authenticator app navnet som vises for brukerne kan endres. Navnet er som standard satt til tenantens navn. Du vil sannsynligvis endre navnet til noe mer lesbart.

Du kan velge å kreve to faktor autentisering for alle brukere som autentiserer med login autentiseringsmetoden.

Konfigurer brukerøkt

Klikk Show advanced for å endre brukerøktens levetid. Standard levetid er 10 timer. Brukerøkten er en glidende økt, der levetiden utvides hver gang en applikasjon gjør en login request til den absolutte øktens levetid nås.
Det er mulig å konfigurere en absolutt øktens levetid eller ikke.

Brukerøkten kan endres til en persistent økt som bevares når nettleseren lukkes og åpnes igjen.
Brukerøkten blir persistent hvis enten den persistent øktens levetid er konfigurert til å være større enn 0. Eller den persistent øktens levetid unlimited innstillingen er satt til Yes.

Klikk User session taggen for å se alle øktinnstillinger.

Konfigurer claims

Du kan endre claims og gjøre claim tasks med claim transforms og claim tasks.