Interna användare

Interna användare kan autentiseras i en eller flera login autentiseringsmetoder i en miljö, vilket gör det möjligt att anpassa inloggningsupplevelsen, t.ex. beroende på olika applikations krav.

Ladda upp dina användare från en CSV fil, med eller utan lösenord.

För en översikt över användarkoncept (interna användare, externa användare och externa user stores) se användaröversikten.

Användaridentifierare

Interna användare stödjer tre användaridentifierare: e-post, telefonnummer och användarnamn. Dessa identifierare utgör credential (användarnamnsdelen) när en användare loggar in med användarnamn och lösenord.
Du kan välja att aktivera en, två eller alla tre.

Endast telefonnummer som användaridentifierare.

E-post, telefonnummer och användarnamn som användaridentifierare.

Lösenordskontroll

Interna användare kan autentiseras med ett lösenord. Lösenordet kontrolleras mot den inbyggda lösenordspolicyn (standard eller policygrupp) och valfritt en extern lösenord API.

Inbyggd lösenordspolicy och aging

Standard lösenordspolicy konfigureras i miljöinställningarna i FoxIDs Control Client och gäller när ingen lösenordspolicygrupp är tilldelad användaren.

1. Välj fliken Settings
2. Välj därefter fliken Environment
3. Hitta sektionen Password settings
4. Konfigurera rutan Default password policy:
   • Password min length och Password max length för att definiera det tillåtna intervallet.
   • Check password complexity för att kräva variation i teckenklasser och säkerställa att lösenordet inte innehåller delar av URL eller användaridentifierare (e-post, telefon, användarnamn).
   • Check password risk based on global password breaches för att avvisa lösenord som finns på risklistor (self-hosted se risk Passwords).
   • Banned characters (case-insensitive) för att blockera specifika tecken.
   • Password history (number of previous passwords, 0 to disable) för att förhindra återanvändning av nyligen använda lösenord.
   • Password max age in seconds (0 to disable) för att tvinga en ändring när ett lösenord blir för gammalt.
   • Soft password change in seconds (0 to disable) för att tillåta en grace period: vid login uppmanas ett icke kompatibelt eller utgånget lösenord att ändras men användaren kan fortfarande logga in tills fönstret löper ut.
5. Klicka Update

Lösenordspolicygrupper

Du kan definiera upp till 10 lösenordspolicygrupper per miljö. En grupp åsidosätter standard lösenordspolicy för de användare den är tilldelad.

1. Välj fliken Settings
2. Välj därefter fliken Environment
3. Hitta sektionen Password settings
4. Konfigurera rutan Password policy groups:
   • Klicka Add policy group och sätt policyvärdena (samma fält som standard policyn) plus ett namn och ett valfritt visningsnamn.
5. Klicka Update
6. Tillämpa en grupp på en användare i Internal Users → redigera användaren → Advanced → Password policy, eller sätt lösenordspolicynamnet vid provisionering via Control API. Om ingen grupp är vald används standard miljöpolicy.

Extern lösenord API

Du kan valfritt konfigurera en extern lösenord API för att validera lösenord och/eller notifiera om lösenordsändringar.

Om den inbyggda lösenordspolicyn avvisar lösenordet kallas inte den externa lösenord API. Den externa lösenord API's notifikationsmetod kallas endast om lösenordet har passerat alla konfigurerade policykontroller.

Lösenord eller engångslösenord (passwordless)

Login autentiseringsmetoden är som standard konfigurerad för användarnamn (användaridentifierare) + lösenord.
Du kan dessutom aktivera engångslösenord (OTP) via e-post och/eller SMS för passwordless login, och du kan skapa flera login autentiseringsmetoder med olika kombinationer.

Om både lösenord och OTP är aktiverat, erbjuds alla aktiverade metoder. UI tillåter även self-service konto skapande.

Om endast OTP via e-post är aktiverat:

Skapa användare

Beroende på vald login metodkonfiguration kan användare skapa ett konto online.

Användare väljer att skapa ett nytt konto på login sidan.

Formulär för att skapa en användare.

Sidan består av dynamiska element som kan anpassas per login metod.
I detta exempel innehåller formuläret fälten Förnamn, Efternamn, E-post och Lösenord.
E-postfältet är en användaridentifierare som används för login.

Detta är konfigurationen i login metoden. Dessutom läggs claim some_custom_claim till varje användare som en konstant via en claim transformation.

Provisionering

Interna användare kan skapas, uppdateras och raderas i Control Client eller provisioneras via Control API. Och ladda upp många användare från en CSV fil.

Multi-faktor autentisering (MFA)

Två faktor / multi faktor autentisering kan krävas per användare. En användare måste då autentisera med en extra faktor (SMS, e-post eller authenticator app) och kan registrera en authenticator app om den inte redan är registrerad.

Vilka andra faktorer som finns tillgängliga kan konfigureras per användare och per login metod. Se två faktor autentisering.
Du kan se om en authenticator app är registrerad och en administratör kan inaktivera den.

Lösenord hash

Endast en lösenord hash lagras.

Hashing subsystemet stödjer evolution: hash metadata (algoritm + parametrar) lagras med varje hash, vilket gör att gamla hashes kan valideras medan nya hashes använder nyare algoritmer / parametrar.

För närvarande stödd hash algoritm P2HS512:10 (definition):

• HMAC (RFC 2104) med SHA-512 (FIPS 180-4)
• 10 iterationer lagrade i hash metadata, multiplicerat med 10.000 PBKDF2 rundor (100.000 totala iterationer)
• Salt längd: 64 bytes
• Härledd nyckellängd: 80 bytes
• Hash och salt lagras som Base64 URL kodade strängar (Base64 utan padding)

Standard .NET bibliotek används för att beräkna hash.