Aanmelden, Home Realm Discovery en MFA
FoxIDs verwerkt gebruikersaanmelding in de login authenticatiemethode. Er kunnen meerdere login authenticatiemethoden per omgeving worden geconfigureerd met verschillende configuraties en look and feel.
Een omgeving bevat één gebruikersrepository en alle login authenticatiemethoden die in een omgeving zijn geconfigureerd authenticeren gebruikers met dezelfde gebruikersrepository.
Wanneer een gebruiker authenticeert, is de gebruikerssessie gekoppeld aan de login authenticatiemethode. Daardoor kan een gebruiker in meerdere geconfigureerde login authenticatiemethoden authenticeren en meerdere afzonderlijke gebruikerssessies hebben.
Een gebruikerssessie wordt niet opgezet in de login authenticatiemethode als de sessieleeftijd is ingesteld op 0 seconden.
Een OpenID Connect applicatieregistratie of SAML 2.0 applicatieregistratie kan gebruikers authenticeren door een login authenticatiemethode te selecteren.
De login authenticatiemethode authenticert gebruikers in een tweestaps login UI met de gebruikersnaam en het wachtwoord op twee aparte pagina's.
Home Realm Discovery (HRD)
Wanneer u een applicatieregistratie aanmaakt is het meestal de beste oplossing om de standaard ster-notatie (*) te gebruiken om alle authenticatiemethoden te selecteren.
Als een applicatieregistratie is geconfigureerd om slechts één authenticatiemethode te mogen gebruiken, wordt de gebruiker direct doorgestuurd naar die specifieke authenticatiemethode.
Als meer dan één authenticatiemethode is toegestaan, wordt de gebruiker doorgestuurd naar een login authenticatiemethode waarmee een authenticatiemethode kan worden geselecteerd op basis van client IP adres, e-maildomeinen of reguliere expressies.
De login UI wordt niet getoond als een authenticatiemethode is geselecteerd op basis van het client IP adres.
Client IP adres
Selecteer de authenticatiemethode op basis van het IP adres van het client apparaat / de PC.
Selecteer op IP adres of met een IP bereik:
192.168.0.0/255.255.255.0selecteert van '192.168.0.0' tot '192.168.0.255'192.168.10.0/24selecteert van '192.168.10.0' tot '192.168.10.255'192.168.0.10 - 192.168.10.20selecteert van '192.168.0.10' tot '192.168.10.20'192.168.10.10-20selecteert van '192.168.10.10' tot '192.168.10.20'fe80::/10selecteert bijv. 'fe80::d503:4ee:3882:c586%3'
E-maildomein
Selecteer de authenticatiemethode op basis van het e-maildomein van de gebruikers.
Selecteer op domeinen of gebruik (*) om alle domeinen te selecteren die niet op een andere authenticatiemethode zijn geconfigureerd.
Reguliere expressie
Selecteer de authenticatiemethode op basis van case-insensitive match van reguliere expressies op e-mail, telefoon en gebruikersnaam van de gebruiker.
Selecteer op reguliere expressie:
xyz$matcht e-mails en gebruikersnamen die eindigen op 'xyz'^+45matcht telefoonnummers die beginnen met landcode '+45'abdmatcht e-mails en gebruikersnamen die 'abc' bevatten^q10.*@@xyz\.com$matcht e-mails die beginnen met 'q10' op het domein 'xyz.com'
Er kan worden gekozen of de HRD-knop moet worden weergegeven voor de authenticatiemethode, zelfs als IP adres / bereik, HRD domein of reguliere expressie is geconfigureerd.
Een voorbeeld van hoe een aanmeldscherm met HRD eruitziet, het kan worden aangepast.
De titel, het pictogram en de CSS die zijn geconfigureerd op de eerste toegestane login authenticatiemethode van de applicatieregistratie worden gebruikt. Zonder een toegestane login authenticatiemethode wordt de titel, het pictogram en de CSS van de standaard login authenticatiemethode gebruikt.
Twee-factor authenticatie (2FA/MFA)
Een login authenticatiemethode ondersteunt twee-factor authenticatie (2FA) / multi-factor authenticatie (MFA) met een authenticator app, SMS en e-mail.
Twee-factor authenticatie met een authenticator app, SMS en e-mail is standaard ingeschakeld en wordt gestart indien vereist.
Twee-factor authenticatie kan als vereiste worden ingesteld in elke login authenticatiemethode, per gebruiker of vereist door de aanroepende OpenID Connect of SAML 2.0 applicatieregistratie.
U kunt een twee-factor authenticator app naar keuze gebruiken zoals Anthy, Google Authenticator, Microsoft Authenticator en andere.
In dit voorbeeld wordt de gebruiker gevraagd om twee-factor authenticatie te doen met een authenticator app of te wisselen naar SMS of e-mail.
Een telefoonnummer en e-mail kunnen worden geconfigureerd als gebruikersidentificator of als claim met de claimtypen phone_number en email.
Het type twee-factor authenticatie wordt geselecteerd zoals in deze tabel.
| SMS twee-factor ingeschakeld en gebruiker heeft telefoonnummer | E-mail twee-factor ingeschakeld en gebruiker heeft e-mail | Gebruiker heeft authenticator app geregistreerd | Mogelijke twee-factor type(s) | Geselecteerd twee-factor type |
|---|---|---|---|---|
| false | false | false | Authenticator app | Authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS - kan authenticator app registreren na SMS verificatie | SMS |
| true | false | true | SMS en authenticator app | Authenticator app |
| false | true | false | E-mail - kan authenticator app registreren na e-mail verificatie | |
| false | true | true | E-mail en authenticator app | Authenticator app |
| true | true | false | SMS en e-mail - kan authenticator app registreren na SMS/e-mail verificatie | SMS |
| true | true | true | SMS, e-mail en authenticator app | Authenticator app |
Login configuratie
In elke omgeving wordt een standaard login authenticatiemethode aangemaakt.
De standaard login met de naam
loginkan worden gewijzigd maar niet verwijderd, wees voorzichtig omdat u toegang kunt verliezen.
De titel, het pictogram en de CSS die zijn geconfigureerd op de standaard login authenticatiemethode worden gebruikt als er geen login authenticatiemethode is geselecteerd, bijvoorbeeld op de foutpagina of tijdens HRD selectie zonder login authenticatiemethode.
Login opties configureren
Het kan worden geconfigureerd of gebruikers hun wachtwoord mogen instellen, of gebruikers een nieuwe gebruiker online mogen aanmaken, welke gebruikersidentificatoren moeten worden gebruikt en of de gebruiker moet inloggen met een wachtwoord of eenmalig wachtwoord (OTP) via e-mail of SMS.
De UI kan worden aangepast en nog veel meer.
Nieuwe gebruikers kunnen door de beheerder worden aangemaakt via de Control Client of worden geprovisioned via de Control API.
Twee-factor authenticatie (2FA) configureren
De twee-factor opties kunnen worden aangepast en de naam van de authenticator app die aan gebruikers wordt getoond kan worden gewijzigd. De naam is standaard ingesteld op de naam van de tenant. U wilt de naam waarschijnlijk wijzigen naar iets menselijks.
U kunt ervoor kiezen om twee-factor authenticatie te vereisen voor alle gebruikers die authenticeren met de login authenticatiemethode.
Gebruikerssessie configureren
Klik op Show advanced om de levensduur van de gebruikerssessie te wijzigen. De standaard levensduur is 10 uur.
De gebruikerssessie is een glijdende sessie, waarbij de levensduur wordt verlengd telkens wanneer een applicatie een login request doet totdat de absolute sessieduur is bereikt.
Het is mogelijk om een absolute sessieduur te configureren of niet.
De gebruikerssessie kan worden gewijzigd naar een persistente sessie die behouden blijft wanneer de browser wordt gesloten en opnieuw geopend.
De gebruikerssessie wordt een persistente sessie als ofwel de persistente sessieduur groter dan 0 is geconfigureerd. Of als de instelling persistente sessieduur onbeperkt is ingesteld op Yes.
Klik op de
User session-tag om alle sessie-instellingen te zien.
Claims configureren
U kunt de claims wijzigen en claim taken uitvoeren met claim transforms en claim tasks.