Interne gebruikers

Interne gebruikers kunnen worden geauthenticeerd in een of meer login authenticatiemethoden in een omgeving, waardoor het mogelijk is om de login ervaring te customizen, bijvoorbeeld afhankelijk van verschillende applicatie vereisten.

Upload uw gebruikers vanuit een CSV bestand, met of zonder wachtwoord.

Voor een overzicht van gebruikersconcepten (interne gebruikers, externe gebruikers en externe user stores) zie de gebruikersoverzicht.

Gebruikersidentificatoren

Interne gebruikers ondersteunen drie gebruikersidentificatoren: e-mail, telefoonnummer en gebruikersnaam. Deze identificatoren vormen de credential (gebruikersnaam gedeelte) wanneer een gebruiker zich aanmeldt met gebruikersnaam en wachtwoord.
U kunt één, twee of alle drie inschakelen.

Alleen telefoonnummer als gebruikersidentificator.
Telefoonnummer als gebruikersidentificator

E-mail, telefoonnummer en gebruikersnaam als gebruikersidentificatoren.
E-mail, telefoonnummer en gebruikersnaam als gebruikersidentificator

Wachtwoordcontrole

Interne gebruikers kunnen worden geauthenticeerd met een wachtwoord. Het wachtwoord wordt gecontroleerd tegen het ingebouwde wachtwoordbeleid (standaard of beleidsgroep) en optioneel een externe wachtwoord API.

Ingebouwd wachtwoordbeleid en veroudering

Het standaard wachtwoordbeleid wordt geconfigureerd in de omgevingsinstellingen in de FoxIDs Control Client en geldt wanneer er geen wachtwoordbeleidsgroep aan de gebruiker is toegewezen.

  1. Selecteer het tabblad Settings
  2. Selecteer vervolgens het tabblad Environment
  3. Zoek de sectie Password settings
  4. Configureer het vak Default password policy:
    • Password min length en Password max length om het toegestane bereik te definiëren.
    • Check password complexity om variatie in tekenklassen af te dwingen en ervoor te zorgen dat het wachtwoord geen delen van de URL of gebruikersidentificatoren (e-mail, telefoon, gebruikersnaam) bevat.
    • Check password risk based on global password breaches om wachtwoorden te weigeren die op risicolijsten staan (self-hosted zie risk Passwords).
    • Banned characters (case-insensitive) om specifieke tekens te blokkeren.
    • Password history (number of previous passwords, 0 to disable) om hergebruik van recente wachtwoorden te voorkomen.
    • Password max age in seconds (0 to disable) om een wijziging te forceren wanneer een wachtwoord te oud is.
    • Soft password change in seconds (0 to disable) om een graceperiode toe te staan: tijdens login wordt een niet-conform of verlopen wachtwoord gevraagd te wijzigen maar de gebruiker kan nog aanmelden totdat het venster verloopt.
  5. Klik op Update

Ingebouwd wachtwoordbeleid

Wachtwoordbeleids groepen

U kunt tot 10 wachtwoordbeleids groepen per omgeving definiëren. Een groep overschrijft het standaard wachtwoordbeleid voor de gebruikers die eraan zijn toegewezen.

  1. Selecteer het tabblad Settings
  2. Selecteer vervolgens het tabblad Environment
  3. Zoek de sectie Password settings
  4. Configureer het vak Password policy groups:
    • Klik op Add policy group en stel de beleidswaarden in (dezelfde velden als het standaardbeleid) plus een naam en een optionele weergavenaam.
  5. Klik op Update
  6. Pas een groep toe op een gebruiker in Internal Users → bewerk gebruiker → AdvancedPassword policy, of stel de wachtwoordbeleidsnaam in bij provisioning via de Control API. Als geen groep is geselecteerd, wordt het standaard omgevingsbeleid gebruikt.

Externe wachtwoord API

U kunt optioneel een externe wachtwoord API configureren om wachtwoorden te valideren en/of meldingen over wachtwoordwijzigingen te sturen.

Als het ingebouwde wachtwoordbeleid het wachtwoord weigert, wordt de externe wachtwoord API niet aangeroepen. De notificatiemethode van de externe wachtwoord API wordt alleen aangeroepen als het wachtwoord alle geconfigureerde beleidchecks heeft doorstaan.

Wachtwoord of eenmalig wachtwoord (passwordless)

De login authenticatiemethode is standaard geconfigureerd voor gebruikersnaam (gebruikersidentificator) + wachtwoord.
U kunt daarnaast eenmalig wachtwoord (OTP) via e-mail en/of SMS inschakelen voor passwordless login, en u kunt meerdere login authenticatiemethoden met verschillende combinaties maken.

Als zowel wachtwoord als OTP zijn ingeschakeld, worden alle ingeschakelde methoden aangeboden. De UI staat ook self-service account aanmaken toe.
Login met wachtwoord of kies login met eenmalig wachtwoord via e-mail of SMS

Als alleen OTP via e-mail is ingeschakeld:
Login met eenmalig wachtwoord via e-mail

Gebruiker aanmaken

Afhankelijk van de geselecteerde login methode configuratie kunnen gebruikers online een account aanmaken.

Gebruiker kiest om een nieuw account aan te maken op de login pagina.
Selecteer account online aanmaken

Formulier om een gebruiker aan te maken.
Nieuwe gebruikers maken een account online aan

De pagina bestaat uit dynamische elementen die per login methode kunnen worden aangepast.
In dit voorbeeld bevat het formulier de velden Voornaam, Achternaam, E-mail en Wachtwoord.
Het e-mail veld is een gebruikersidentificator die voor login wordt gebruikt.

Dit is de configuratie in de login methode. Daarnaast wordt de claim some_custom_claim toegevoegd aan elke gebruiker als constante via een claim transformation.
Login configuratie - account online aanmaken

Provisioning

Interne gebruikers kunnen worden aangemaakt, bijgewerkt en verwijderd in de Control Client of geprovisioned via de Control API. En upload veel gebruikers vanuit een CSV bestand. Configure Login

Multi-factor authenticatie (MFA)

Twee-factor / multi-factor authenticatie kan per gebruiker worden vereist. Een gebruiker moet dan authentiseren met een extra factor (SMS, e-mail of authenticator app) en kan een authenticator app registreren als deze nog niet is geregistreerd.

Welke tweede factoren beschikbaar zijn kan per gebruiker en per login methode worden geconfigureerd. Zie twee-factor authenticatie.
U kunt zien of een authenticator app is geregistreerd en een beheerder kan deze deactiveren.
Configure Login

Wachtwoord hash

Alleen een wachtwoord hash wordt opgeslagen.

Het hashing subsysteem ondersteunt evolutie: hash metadata (algoritme + parameters) wordt opgeslagen bij elke hash, waardoor oude hashes kunnen worden gevalideerd terwijl nieuwe hashes nieuwere algoritmen / parameters gebruiken.

Momenteel ondersteunde hash algoritme P2HS512:10 (definitie):

  • HMAC (RFC 2104) met SHA-512 (FIPS 180-4)
  • 10 iteraties opgeslagen in de hash metadata, vermenigvuldigd met 10.000 PBKDF2 rondes (100.000 totale iteraties)
  • Salt lengte: 64 bytes
  • Afgeleide sleutel lengte: 80 bytes
  • Hash en salt worden opgeslagen als Base64 URL gecodeerde strings (Base64 zonder padding)

Standaard .NET bibliotheken worden gebruikt om de hash te berekenen.

Uw privacy

We gebruiken cookies om uw ervaring op onze websites te verbeteren. Klik op de knop 'Alle cookies accepteren' om akkoord te gaan met het gebruik van cookies. Om niet-noodzakelijke cookies te weigeren, klikt u op 'Alleen noodzakelijke cookies'.

Bezoek onze privacyverklaring voor meer informatie