Utilizadores internos

Os utilizadores internos podem autenticar-se em um ou mais métodos de autenticação de login num ambiente. Isto torna possível personalizar a experiência de início de sessão para diferentes requisitos de aplicação.

Carregue os seus utilizadores a partir de um ficheiro CSV, com ou sem palavra-passe.

Para uma visão geral dos conceitos de utilizador, como utilizadores internos, utilizadores externos e stores de utilizadores externas, consulte a visão geral de utilizadores.

Também podem ser atribuídas aos utilizadores internos memberships de estrutura de acesso para modelar acesso hierárquico e resolver claims de acesso durante o login.

Identificadores de utilizador

Os utilizadores internos suportam três identificadores de utilizador: email, número de telefone e username. Estes identificadores formam a credencial, que é a parte username quando um utilizador inicia sessão com username e palavra-passe.

Configure user identifiers in login authentication method

Pode ativar um, dois ou os três identificadores no método de autenticação de login. Se estiver ativado mais do que um identificador, o utilizador pode iniciar sessão com qualquer identificador ativado.

Apenas número de telefone como identificador de utilizador.
Phone number as user identifier

Email, número de telefone e username como identificadores de utilizador.
Email, phone number and username as user identifier

Verificação de palavra-passe

Os utilizadores internos podem autenticar-se com uma palavra-passe. A palavra-passe é validada contra a política de palavra-passe incorporada (predefinida ou grupo de política) e, opcionalmente, uma external password API.

Também pode ativar o Directory Connector para o ambiente. Nesse caso, a autenticação por palavra-passe e o ciclo de vida da palavra-passe são delegados para um diretório externo autoritativo enquanto os utilizadores permanecem utilizadores internos no FoxIDs.

Política de palavra-passe incorporada e antiguidade

A política de palavra-passe predefinida é configurada nas definições do ambiente no FoxIDs Control Client e aplica-se quando nenhum grupo de política de palavra-passe está atribuído ao utilizador.

  1. Selecione o separador Settings.
  2. Selecione o separador Environment.
  3. Encontre a secção Password settings.
  4. Configure a caixa Default password policy:
    • Password min length e Password max length definem o intervalo permitido.
    • Check password complexity impõe variedade de classes de caracteres e garante que a palavra-passe não contém partes do URL nem identificadores de utilizador como email, telefone ou username.
    • Check password risk based on global password breaches rejeita palavras-passe encontradas em listas de risco. Para implementações self-hosted, veja risk passwords.
    • Banned characters (case-insensitive) bloqueia caracteres específicos.
    • Password history (number of previous passwords, 0 to disable) impede a reutilização de palavras-passe recentes.
    • Password max age in seconds (0 to disable) força uma alteração quando uma palavra-passe fica demasiado antiga.
    • Soft password change in seconds (0 to disable) permite um período de tolerância. Durante o login, uma palavra-passe não conforme ou expirada pede ao utilizador que a altere, mas o utilizador pode ainda iniciar sessão até o período de tolerância expirar.
  5. Clique em Update.

Built-in password policy

Grupos de política de palavra-passe

Pode definir até 10 grupos de política de palavra-passe por ambiente. Um grupo substitui a política de palavra-passe predefinida para os utilizadores aos quais é atribuído.

  1. Selecione o separador Settings.
  2. Selecione o separador Environment.
  3. Encontre a secção Password settings.
  4. Configure a caixa Password policy groups.
  5. Clique em Add policy group e defina os valores da política, que são os mesmos campos da política predefinida, mais um nome e um display name opcional.
  6. Clique em Update.

Aplique um grupo a um utilizador em Internal Users → editar utilizador → AdvancedPassword policy, ou defina o nome da política de palavra-passe ao provisionar através da Control API. Se nenhum grupo for selecionado, é usada a política predefinida do ambiente.

External password API

Pode opcionalmente configurar uma external password API para validar palavras-passe e/ou notificar sobre alterações de palavra-passe.

Se a política de palavra-passe incorporada rejeitar a palavra-passe, a external password API não é chamada. O método de notificação na external password API só é chamado se a palavra-passe passar em todas as verificações de política configuradas.

Palavra-passe ou one-time password (passwordless)

O método de autenticação login está configurado por predefinição para identificador de utilizador mais palavra-passe.

Também pode ativar one-time password (OTP) por email e/ou SMS para início de sessão passwordless, e pode criar vários métodos de autenticação de login com combinações diferentes.

Se tanto a palavra-passe como OTP estiverem ativados, todos os métodos ativados são oferecidos. A UI também pode permitir criação self-service de conta.
Login with password or select to login with one-time password via email or SMS

Se apenas OTP por email estiver ativado:
Login with one-time password via email

Criar utilizador

Dependendo da configuração do método login selecionado, os utilizadores podem criar uma conta online.

O utilizador escolhe criar uma nova conta na página de login.
Select create an account online

Este exemplo mostra o formulário de criação de utilizador.
New users create an account online

A página é composta por elementos dinâmicos que podem ser personalizados por método login. Neste exemplo, o formulário contém os campos Given name, Family name, Email e Password. O campo Email é o identificador de utilizador usado para o início de sessão.

Esta é a configuração no método login. Além disso, o claim some_custom_claim é adicionado a cada utilizador como uma constante através de uma claim transform.
Login configuration - create an account online

Provisioning

Os utilizadores internos podem ser criados, atualizados e eliminados no Control Client ou provisionados através da Control API. Também pode carregar muitos utilizadores a partir de um ficheiro CSV. Configure user

Autenticação multifator (MFA)

A autenticação de dois fatores e multifator pode ser exigida por utilizador. O utilizador tem então de concluir um fator adicional e pode registar uma app autenticadora se ainda não estiver registada.

Os fatores disponíveis são determinados pelo método de autenticação de login e pelos dados e definições do utilizador. Veja autenticação de dois fatores e multifator.

Pode ver se uma app autenticadora está registada, e um administrador pode desativá-la.
Configure user MFA

Hash da palavra-passe

Apenas é guardado um hash da palavra-passe.

O subsistema de hashing suporta evolução. Os metadados do hash, ou seja, o algoritmo e os parâmetros, são guardados com cada hash para que hashes antigos continuem a poder ser validados enquanto hashes novos usam algoritmos ou parâmetros mais recentes.

Algoritmo de hash atualmente suportado P2HS512:10:

  • HMAC (RFC 2104) com SHA-512 (FIPS 180-4)
  • 10 iterações guardadas nos metadados do hash, multiplicadas por 10.000 rondas PBKDF2 para um total de 100.000 iterações
  • Comprimento do salt: 64 bytes
  • Comprimento da chave derivada: 80 bytes
  • Hash e salt são guardados como strings codificadas em Base64 URL, que é Base64 sem padding

São usadas bibliotecas padrão de .NET para calcular o hash.

A sua privacidade

A sua privacidade

Usamos cookies para melhorar a sua experiência nos nossos sites. Clique no botão 'Aceitar todos os cookies' para concordar com a utilização de cookies. Para recusar cookies não essenciais, clique em 'Apenas cookies necessários'.

Visite a nossa página de Política de Privacidade para saber mais