Użytkownicy wewnętrzni

Użytkownicy wewnętrzni mogą być uwierzytelniani w jednej lub wielu metodach uwierzytelniania login w środowisku, co umożliwia dostosowanie doświadczenia logowania, np. w zależności od wymagań aplikacji.

Wgraj użytkowników z pliku CSV, z hasłem lub bez.

Przegląd pojęć użytkowników (użytkownicy wewnętrzni, użytkownicy zewnętrzni i zewnętrzne magazyny użytkowników) znajdziesz w przeglądzie użytkowników.

Identyfikatory użytkownika

Użytkownicy wewnętrzni obsługują trzy identyfikatory użytkownika: e-mail, numer telefonu i nazwa użytkownika. Te identyfikatory tworzą poświadczenie (część nazwy użytkownika), gdy użytkownik loguje się nazwą użytkownika i hasłem.
Możesz włączyć jeden, dwa lub wszystkie trzy.

Tylko numer telefonu jako identyfikator użytkownika.

E-mail, numer telefonu i nazwa użytkownika jako identyfikatory użytkownika.

Sprawdzanie hasła

Użytkownicy wewnętrzni mogą być uwierzytelniani hasłem. Hasło jest sprawdzane względem wbudowanej polityki haseł (domyślnej lub z grupy polityk) i opcjonalnie względem zewnętrznego API haseł.

Wbudowana polityka haseł i wygasanie

Domyślna polityka haseł jest konfigurowana w ustawieniach środowiska w FoxIDs Control Client i ma zastosowanie, gdy do użytkownika nie przypisano grupy polityk haseł.

1. Wybierz kartę Settings
2. Następnie wybierz kartę Environment
3. Znajdź sekcję Password settings
4. Skonfiguruj pole Default password policy:
   • Password min length i Password max length, aby określić dozwolony zakres.
   • Check password complexity, aby wymusić różnorodność klas znaków i upewnić się, że hasło nie zawiera części URL ani identyfikatorów użytkownika (e-mail, telefon, nazwa użytkownika).
   • Check password risk based on global password breaches, aby odrzucać hasła znajdujące się na listach ryzyka (self-hosted zobacz Hasła ryzyka).
   • Banned characters (case-insensitive), aby blokować określone znaki.
   • Password history (number of previous passwords, 0 to disable), aby zapobiec ponownemu użyciu ostatnich haseł.
   • Password max age in seconds (0 to disable), aby wymusić zmianę, gdy hasło jest zbyt stare.
   • Soft password change in seconds (0 to disable), aby umożliwić okres łaski: podczas logowania hasło niezgodne lub wygasłe powoduje prośbę o zmianę, ale użytkownik może się nadal zalogować do czasu wygaśnięcia okna.
5. Kliknij Update

Grupy polityk haseł

Możesz zdefiniować do 10 grup polityk haseł na środowisko. Grupa nadpisuje domyślną politykę haseł dla przypisanych do niej użytkowników.

1. Wybierz kartę Settings
2. Następnie wybierz kartę Environment
3. Znajdź sekcję Password settings
4. Skonfiguruj pole Password policy groups:
   • Kliknij Add policy group i ustaw wartości polityki (te same pola co w polityce domyślnej) oraz nazwę i opcjonalną nazwę wyświetlaną.
5. Kliknij Update
6. Przypisz grupę do użytkownika w Internal Users → edytuj użytkownika → Advanced → Password policy albo ustaw nazwę polityki haseł podczas provisioningu przez Control API. Jeśli nie wybrano grupy, używana jest domyślna polityka środowiska.

Zewnętrzne API haseł

Opcjonalnie możesz skonfigurować zewnętrzne API haseł, aby walidować hasła i/lub powiadamiać o zmianach hasła.

Jeśli wbudowana polityka haseł odrzuci hasło, zewnętrzne API haseł nie jest wywoływane. Metoda powiadomień zewnętrznego API haseł jest wywoływana tylko wtedy, gdy hasło przeszło wszystkie skonfigurowane kontrole polityki.

Hasło lub jednorazowe hasło (passwordless)

Metoda uwierzytelniania login jest domyślnie skonfigurowana dla nazwy użytkownika (identyfikatora użytkownika) + hasła.
Możesz dodatkowo włączyć jednorazowe hasło (OTP) przez e-mail i/lub SMS dla logowania bez hasła, a także utworzyć wiele metod uwierzytelniania login z różnymi kombinacjami.

Jeśli włączone są zarówno hasło, jak i OTP, oferowane są wszystkie włączone metody. Interfejs umożliwia też samoobsługowe tworzenie kont.

Jeśli włączone jest tylko OTP przez e-mail:

Tworzenie użytkownika

W zależności od wybranej konfiguracji metody login użytkownicy mogą tworzyć konto online.

Użytkownik wybiera utworzenie nowego konta na stronie logowania.

Formularz tworzenia użytkownika.

Strona składa się z dynamicznych elementów, które można dostosować dla każdej metody login.
W tym przykładzie formularz zawiera pola Imię, Nazwisko, E-mail i Hasło.
Pole E-mail jest identyfikatorem użytkownika używanym do logowania.

To jest konfiguracja w metodzie login. Dodatkowo oświadczenie some_custom_claim jest dodawane do każdego użytkownika jako stała przez transformację oświadczeń.

Provisioning

Użytkownicy wewnętrzni mogą być tworzeni, aktualizowani i usuwani w Control Client lub provisioningowani przez Control API. Możesz też wgrać wielu użytkowników z pliku CSV.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie dwu- lub wieloskładnikowe może być wymagane per użytkownik. Użytkownik musi wtedy uwierzytelnić się dodatkowym czynnikiem (SMS, e-mail lub aplikacja uwierzytelniająca) i może zarejestrować aplikację uwierzytelniającą, jeśli nie była wcześniej zarejestrowana.

To, które drugie czynniki są dostępne, można skonfigurować dla użytkownika i dla metody login. Zobacz uwierzytelnianie dwuskładnikowe.
Możesz zobaczyć, czy aplikacja uwierzytelniająca jest zarejestrowana, a administrator może ją dezaktywować.

Hash hasła

Przechowywany jest tylko hash hasła.

Podsystem haszowania wspiera ewolucję: metadane hasha (algorytm + parametry) są przechowywane razem z każdym hashem, co pozwala weryfikować stare hashe, podczas gdy nowe hashe używają nowszych algorytmów / parametrów.

Obecnie obsługiwany algorytm haszowania P2HS512:10 (definicja):

• HMAC (RFC 2104) z SHA-512 (FIPS 180-4)
• 10 iteracji zapisanych w metadanych hasha, pomnożonych przez 10 000 rund PBKDF2 (łącznie 100 000 iteracji)
• Długość soli: 64 bajty
• Długość klucza pochodnego: 80 bajtów
• Hash i sól są przechowywane jako ciągi Base64 URL (Base64 bez wypełnienia)

Do obliczenia hasha używane są standardowe biblioteki .NET.