Logowanie, Home Realm Discovery i MFA

FoxIDs obsługuje logowanie użytkowników w metodzie uwierzytelniania login. W jednym środowisku można skonfigurować wiele metod uwierzytelniania login o różnych konfiguracjach i wyglądzie.

Środowisko zawiera jedno repozytorium użytkowników, a wszystkie metody uwierzytelniania login skonfigurowane w środowisku uwierzytelniają użytkowników w tym samym repozytorium.

Gdy użytkownik się uwierzytelnia, jego sesja jest powiązana z metodą uwierzytelniania login. Dlatego użytkownik może uwierzytelnić się w wielu skonfigurowanych metodach uwierzytelniania login i posiadać wiele oddzielnych sesji użytkownika.
Sesja użytkownika nie jest tworzona w metodzie uwierzytelniania login, jeśli czas życia sesji jest ustawiony na 0 sekund.

Rejestracja aplikacji OpenID Connect lub rejestracja aplikacji SAML 2.0 może uwierzytelniać użytkowników poprzez wybór metody uwierzytelniania login.

FoxIDs login

Metoda uwierzytelniania login uwierzytelnia użytkowników w dwuetapowym interfejsie logowania, z wprowadzaniem nazwy użytkownika i hasła na dwóch osobnych stronach.

Home Realm Discovery (HRD)

Gdy tworzysz rejestrację aplikacji, najczęściej najlepszym rozwiązaniem jest użycie domyślnej notacji z gwiazdką (*), aby wybrać wszystkie metody uwierzytelniania. Jeśli rejestracja aplikacji jest skonfigurowana tak, że może używać tylko jednej metody uwierzytelniania, użytkownik jest od razu przekierowywany do tej metody. Jeśli dozwolona jest więcej niż jedna metoda uwierzytelniania, użytkownik zostaje przekierowany do metody uwierzytelniania login, która umożliwia wybór metody uwierzytelniania na podstawie adresu IP klienta, domen e-mail lub wyrażeń regularnych. Interfejs logowania nie jest wyświetlany, jeśli metoda uwierzytelniania zostanie wybrana na podstawie adresu IP klienta.

Adres IP klienta
Wybierz metodę uwierzytelniania na podstawie adresu IP urządzenia klienta / PC.

Wybór po adresie IP lub zakresie IP:

  • 192.168.0.0/255.255.255.0 wybiera od '192.168.0.0' do '192.168.0.255'
  • 192.168.10.0/24 wybiera od '192.168.10.0' do '192.168.10.255'
  • 192.168.0.10 - 192.168.10.20 wybiera od '192.168.0.10' do '192.168.10.20'
  • 192.168.10.10-20 wybiera od '192.168.10.10' do '192.168.10.20'
  • fe80::/10 wybiera np. 'fe80::d503:4ee:3882:c586%3'

Domena e-mail
Wybierz metodę uwierzytelniania na podstawie domeny e-mail użytkownika.

Wybierz domeny lub użyj (*), aby wybrać wszystkie domeny nie skonfigurowane w innej metodzie uwierzytelniania.

Wyrażenie regularne
Wybierz metodę uwierzytelniania na podstawie dopasowania wyrażenia regularnego (bez rozróżniania wielkości liter) do e-maila, telefonu i nazwy użytkownika.

Wybór po wyrażeniu regularnym:

  • xyz$ dopasowuje e-maile i nazwy użytkowników kończące się na 'xyz'
  • ^+45 dopasowuje numery telefonów zaczynające się od kodu '+45'
  • abd dopasowuje e-maile i nazwy użytkowników zawierające 'abc'
  • ^q10.*@@xyz\.com$ dopasowuje e-maile zaczynające się od 'q10' w domenie 'xyz.com'

Home Realm Discovery configuration

Można wybrać, czy przycisk HRD ma być wyświetlany dla metody uwierzytelniania, nawet jeśli skonfigurowano adres IP / zakres, domenę HRD lub wyrażenie regularne.

Przykład ekranu logowania z HRD, który można dostosować. Home Realm Discovery configuration

Tytuł, ikona i CSS skonfigurowane w pierwszej dozwolonej metodzie uwierzytelniania login dla rejestracji aplikacji są używane. Jeśli nie skonfigurowano dozwolonej metody uwierzytelniania login, używane są tytuł, ikona i CSS z domyślnej metody uwierzytelniania login.

Uwierzytelnianie dwuskładnikowe (2FA/MFA)

Metoda uwierzytelniania login obsługuje uwierzytelnianie dwuskładnikowe (2FA) / wieloskładnikowe (MFA) z aplikacją uwierzytelniającą, SMS i e-mailem.

Uwierzytelnianie dwuskładnikowe z aplikacją uwierzytelniającą, SMS i e-mailem jest domyślnie włączone i jest inicjowane, gdy jest wymagane.
Uwierzytelnianie dwuskładnikowe może być wymagane w każdej metodzie uwierzytelniania login, dla użytkownika lub wymagane przez wywołującą rejestrację aplikacji OpenID Connect lub SAML 2.0.

Możesz użyć aplikacji uwierzytelniającej 2FA dowolnego wyboru, np. Anthy, Google Authenticator, Microsoft Authenticator i innych.

W tym przykładzie użytkownik jest proszony o uwierzytelnienie dwuskładnikowe za pomocą aplikacji uwierzytelniającej lub o zmianę na SMS lub e-mail.

2FA example

Numer telefonu i e-mail mogą być skonfigurowane jako identyfikator użytkownika lub jako oświadczenie z typami oświadczeń phone_number i email.

Typ uwierzytelniania dwuskładnikowego jest wybierany zgodnie z poniższą tabelą.

Włączone 2FA SMS i użytkownik ma numer telefonu Włączone 2FA e-mail i użytkownik ma e-mail Użytkownik ma zarejestrowaną aplikację uwierzytelniającą Możliwe typy 2FA Wybrany typ 2FA
false false false Aplikacja uwierzytelniająca Aplikacja uwierzytelniająca
false false true Aplikacja uwierzytelniająca Aplikacja uwierzytelniająca
true false false SMS - można zarejestrować aplikację uwierzytelniającą po weryfikacji SMS SMS
true false true SMS i aplikacja uwierzytelniająca Aplikacja uwierzytelniająca
false true false E-mail - można zarejestrować aplikację uwierzytelniającą po weryfikacji e-mail E-mail
false true true E-mail i aplikacja uwierzytelniająca Aplikacja uwierzytelniająca
true true false SMS i e-mail - można zarejestrować aplikację uwierzytelniającą po weryfikacji SMS/e-mail SMS
true true true SMS, e-mail i aplikacja uwierzytelniająca Aplikacja uwierzytelniająca

Konfiguracja logowania

Domyślna metoda uwierzytelniania login jest tworzona w każdym środowisku.

Domyślne logowanie o nazwie login można zmienić, ale nie można go usunąć — zachowaj ostrożność, ponieważ możesz utracić dostęp.

Tytuł, ikona i CSS skonfigurowane w domyślnej metodzie uwierzytelniania login są używane, gdy nie wybrano metody uwierzytelniania login, np. na stronie błędu lub podczas wyboru HRD bez metody uwierzytelniania login.

Konfiguracja opcji logowania

Można skonfigurować, czy użytkownicy mogą ustawiać hasło, czy mogą tworzyć nowego użytkownika online, które identyfikatory użytkownika są używane oraz czy użytkownik ma logować się hasłem czy jednorazowym hasłem (OTP) przez e-mail lub SMS. UI można dostosować i wiele więcej.
Nowych użytkowników można tworzyć przez administratora w Control Client lub dostarczać przez Control API.

Configure Login

Konfiguracja uwierzytelniania dwuskładnikowego (2FA)

Można zmienić opcje 2FA i nazwę aplikacji uwierzytelniającej wyświetlaną użytkownikom. Nazwa jest domyślnie ustawiona na nazwę tenanta. Najprawdopodobniej chcesz zmienić ją na bardziej czytelną.

Możesz wybrać, aby wymagać uwierzytelniania dwuskładnikowego dla wszystkich użytkowników uwierzytelniających się przy użyciu metody uwierzytelniania login.

Configure Login 2FA

Konfiguracja sesji użytkownika

Kliknij Show advanced, aby zmienić czas życia sesji użytkownika. Domyślny czas życia to 10 godzin. Sesja użytkownika jest sesją przesuwną, w której czas życia jest wydłużany za każdym razem, gdy aplikacja wysyła żądanie logowania, aż do osiągnięcia absolutnego czasu życia sesji.
Można skonfigurować absolutny czas życia sesji lub nie.

Sesję użytkownika można zmienić na sesję trwałą, która jest zachowana po zamknięciu i ponownym otwarciu przeglądarki.
Sesja użytkownika staje się sesją trwałą, jeśli czas życia sesji trwałej jest skonfigurowany na wartość większą niż 0 lub ustawienie nieograniczonego czasu życia sesji trwałej jest ustawione na Yes.

Kliknij kartę User session, aby zobaczyć wszystkie ustawienia sesji.

Configure Login

Konfiguracja oświadczeń

Możesz zmieniać oświadczenia i wykonywać zadania oświadczeń za pomocą transformacji oświadczeń i zadań oświadczeń.

Twoja prywatność

Używamy plików cookie, aby poprawić korzystanie z naszych stron internetowych. Kliknij przycisk „Akceptuj wszystkie pliki cookie”, aby wyrazić zgodę na ich użycie. Aby zrezygnować z nieistotnych plików cookie, kliknij „Tylko niezbędne pliki cookie”.

Odwiedź naszą politykę prywatności, aby dowiedzieć się więcej