Inloggning, Home Realm Discovery och MFA
FoxIDs hanterar användarinloggning i inloggningsautentiseringsmetoden. Det kan konfigureras flera inloggningsautentiseringsmetoder per miljö med olika konfigurationer och look and feel.
En miljö innehåller ett användararkiv och alla inloggningsautentiseringsmetoder som är konfigurerade i en miljö autentiserar användare med samma användararkiv.
När en användare autentiserar kopplas användarsessionen till inloggningsautentiseringsmetoden. Därför kan en användare autentisera i flera konfigurerade inloggningsautentiseringsmetoder och ha flera separata användarsessioner.
En användarsession etableras inte i inloggningsautentiseringsmetoden om sessionens livslängd är satt till 0 sekunder.
En OpenID Connect applikationsregistrering eller SAML 2.0 applikationsregistrering kan autentisera användare genom att välja en inloggningsautentiseringsmetod.
Inloggningsautentiseringsmetoden autentiserar användare i ett tvåstegs inloggningsgränssnitt med användarnamn och lösenord på två separata sidor.
Home Realm Discovery (HRD)
När du skapar en applikationsregistrering är det oftast bäst att använda standardstjärnnotationen (*) för att välja alla autentiseringsmetoder.
Om en applikationsregistrering är konfigurerad att bara få använda en autentiseringsmetod omdirigeras användaren direkt till den autentiseringsmetoden.
Om fler än en autentiseringsmetod är tillåten omdirigeras användaren till en inloggningsautentiseringsmetod som gör det möjligt att välja autentiseringsmetod baserat på klientens IP adress, e-postdomäner eller reguljära uttryck.
Inloggningsgränssnittet visas inte om en autentiseringsmetod väljs baserat på klientens IP adress.
Klient IP adress
Välj autentiseringsmetod baserat på klientens / datorns IP adress.
Välj efter IP adress eller med ett IP intervall:
192.168.0.0/255.255.255.0väljer från '192.168.0.0' till '192.168.0.255'192.168.10.0/24väljer från '192.168.10.0' till '192.168.10.255'192.168.0.10 - 192.168.10.20väljer från '192.168.0.10' till '192.168.10.20'192.168.10.10-20väljer från '192.168.10.10' till '192.168.10.20'fe80::/10väljer t.ex. 'fe80::d503:4ee:3882:c586%3'
E-postdomän
Välj autentiseringsmetod baserat på användarnas e-postdomän.
Välj efter domäner eller använd (*) för att välja alla domäner som inte är konfigurerade på en annan autentiseringsmetod.
Reguljärt uttryck
Välj autentiseringsmetod baserat på skiftlägesokänslig matchning av reguljärt uttryck mot användarnas e-post, telefon och användarnamn.
Välj efter reguljärt uttryck:
xyz$matchar e-post och användarnamn som slutar på 'xyz'^+45matchar telefonnummer som börjar med landskod '+45'abdmatchar e-post och användarnamn som innehåller 'abc'^q10.*@@xyz\.com$matchar e-post som börjar med 'q10' på domänen 'xyz.com'
Det kan väljas om HRD-knappen ska visas för autentiseringsmetoden även om IP adress / intervall, HRD domän eller reguljärt uttryck är konfigurerat.
Ett exempel på hur en inloggningsskärm med HRD ser ut, den kan anpassas.
Den titel, ikon och CSS som är konfigurerad på den första tillåtna inloggningsautentiseringsmetoden på applikationsregistreringen används. Utan en tillåten inloggningsautentiseringsmetod används titel, ikon och CSS från standardinloggningsautentiseringsmetoden.
Tvåfaktorsautentisering (2FA/MFA)
En inloggningsautentiseringsmetod stödjer tvåfaktorsautentisering (2FA) / multifaktorsautentisering (MFA) med en authenticator app, SMS och e-post.
Tvåfaktorsautentisering med en authenticator app, SMS och e-post är som standard aktiverad och initieras om det krävs.
Tvåfaktorsautentisering kan anges som krav i varje inloggningsautentiseringsmetod, per användare eller krävas av den anropande OpenID Connect eller SAML 2.0 applikationsregistrering.
Du kan använda en tvåfaktors authenticator app som du vill, som Anthy, Google Authenticator, Microsoft Authenticator och andra.
I detta exempel ombeds användaren att göra tvåfaktorsautentisering med en authenticator app eller byta till SMS eller e-post.
Ett telefonnummer och e-post kan antingen konfigureras som användaridentifierare eller som en claim med claim typerna phone_number och email.
Typen för tvåfaktorsautentisering väljs enligt denna tabell.
| SMS tvåfaktor aktiverad och användaren har telefonnummer | E-post tvåfaktor aktiverad och användaren har e-post | Användaren har registrerat authenticator app | Möjliga tvåfaktor typ(er) | Vald tvåfaktor typ |
|---|---|---|---|---|
| false | false | false | Authenticator app | Authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS - kan registrera authenticator app efter SMS verifiering | SMS |
| true | false | true | SMS och authenticator app | Authenticator app |
| false | true | false | E-post - kan registrera authenticator app efter e-post verifiering | E-post |
| false | true | true | E-post och authenticator app | Authenticator app |
| true | true | false | SMS och e-post - kan registrera authenticator app efter SMS/e-post verifiering | SMS |
| true | true | true | SMS, e-post och authenticator app | Authenticator app |
Inloggningskonfiguration
En standard inloggningsautentiseringsmetod skapas i varje miljö.
Standard inloggning med namnet
loginkan ändras men inte tas bort, var försiktig eftersom du kan förlora åtkomst.
Den titel, ikon och CSS som är konfigurerad på standard inloggningsautentiseringsmetoden används när ingen inloggningsautentiseringsmetod är vald, t.ex. på felsidan eller under HRD valet utan en inloggningsautentiseringsmetod.
Konfigurera inloggningsalternativ
Det kan konfigureras om användare ska få sätta sitt lösenord, om användare får skapa en ny användare online, vilka användaridentifierare som ska användas och om användaren ska logga in med lösenord eller engångslösenord (OTP) via e-post eller SMS.
UI kan anpassas och mycket mer.
Nya användare kan skapas av administratören via Control Client eller provisioneras via Control API.
Konfigurera tvåfaktorsautentisering (2FA)
Tvåfaktorsalternativen kan ändras och namnet på authenticator app som visas för användare kan ändras. Namnet är som standard satt till tenantens namn. Du vill troligen ändra namnet till något mer läsbart.
Du kan välja att kräva tvåfaktorsautentisering för alla användare som autentiserar med inloggningsautentiseringsmetoden.
Konfigurera användarsession
Klicka Show advanced för att ändra användarsessionens livslängd. Standard livslängd är 10 timmar.
Användarsessionen är en glidande session, där livslängden förlängs varje gång en applikation gör en login request tills den absoluta sessionens livslängd nås.
Det är möjligt att konfigurera en absolut sessionens livslängd eller inte.
Användarsessionen kan ändras till en persistent session som bevaras när webbläsaren stängs och öppnas igen.
Användarsessionen blir persistent om antingen den persistenta sessionens livslängd är konfigurerad till större än 0. Eller om inställningen persistent sessionens livslängd unlimited är satt till Yes.
Klicka på
User session-taggen för att se alla sessionsinställningar.
Konfigurera claims
Du kan ändra claims och göra claim tasks med claim transforms och claim tasks.