Zum Hauptinhalt springen

MFA konfigurieren

MFA-Einstellungen in Logto konfigurieren

Logto bietet flexible Konfigurationsmöglichkeiten für Multi-Faktor-Authentifizierung (MFA), um unterschiedlichen Sicherheitsanforderungen gerecht zu werden. Du kannst MFA global für alle Benutzer konfigurieren oder sie für Multi-Tenant-Anwendungen organisationsspezifisch aktivieren.

Globale MFA-Konfiguration

Folge diesen Schritten, um MFA im Logto-Anmeldeprozess für Benutzer zu aktivieren:

  1. Navigiere zu: Konsole > Multi-Faktor-Authentifizierung.
  2. Aktiviere die unterstützten Verifizierungsfaktoren für deine Benutzer.
    1. Primäre Faktoren:
      • Authenticator App OTP: Die gängigste und am weitesten akzeptierte Methode. Verwende ein zeitbasiertes Einmalpasswort (TOTP), das von einer Authenticator-App wie Google Authenticator oder Authy generiert wird.
      • Passkeys (WebAuthn): Eine hochsichere Option, geeignet für Webprodukte, die Gerätebiometrie oder Sicherheitsschlüssel unterstützen und so einen robusten Schutz gewährleisten.
    2. Backup-Faktoren:
      • Backup-Codes: Dient als Backup-Option, wenn Benutzer keinen der oben genannten primären Faktoren verifizieren können. Die Aktivierung dieser Option reduziert die Hürden für einen erfolgreichen Zugriff der Benutzer.
  3. Wähle, ob du MFA erforderlich aktivieren möchtest:
    • Aktivieren: Benutzer werden während des Anmeldeprozesses aufgefordert, MFA einzurichten, was nicht übersprungen werden kann. Wenn der Benutzer MFA nicht einrichtet oder seine MFA-Einstellungen löscht, wird sein Konto gesperrt, bis MFA erneut eingerichtet wird.
    • Deaktivieren: Benutzer können den MFA-Einrichtungsprozess während der Registrierung überspringen. Sie können MFA später über deine Self-Service-Kontoeinstellungsseite einrichten. Mehr erfahren über die Implementierung einer Benutzerkontoeinstellungsseite. Wähle anschließend die Richtlinie für die MFA-Einrichtungsaufforderung:
      • Benutzer nicht zur MFA-Einrichtung auffordern: Benutzer werden während der Anmeldung nicht zur MFA-Einrichtung aufgefordert.
      • Benutzer während der Registrierung zur MFA-Einrichtung auffordern: Neue Benutzer werden während der Registrierung zur MFA-Einrichtung aufgefordert, und bestehende Benutzer sehen die Aufforderung bei ihrer nächsten Anmeldung. Benutzer können diesen Schritt überspringen, und er wird nicht erneut angezeigt.
      • Benutzer nach der Registrierung bei der nächsten Anmeldung zur MFA-Einrichtung auffordern: Neue Benutzer werden bei ihrer zweiten Anmeldung nach der Registrierung zur MFA-Einrichtung aufgefordert, und bestehende Benutzer sehen die Aufforderung bei ihrer nächsten Anmeldung. Benutzer können diesen Schritt überspringen, und er wird nicht erneut angezeigt.
MFA-Einstellungen

Organisationsspezifische MFA-Konfiguration

Für Produkte mit Multi-Tenant-Architektur, die Organisationen unterstützen, ist es in den meisten Fällen nicht erforderlich, MFA für alle Benutzer zu verlangen. Stattdessen kann MFA organisationsspezifisch aktiviert werden, sodass du die Anforderungen je nach Bedarf des jeweiligen Kunden anpassen kannst. Weitere Informationen findest du unter MFA für Organisationsmitglieder erforderlich machen.

MFA-Benutzerfluss

MFA-Einrichtungsprozess

Sobald MFA aktiviert ist, werden Benutzer während des Anmelde- und Registrierungsprozesses zur MFA-Einrichtung aufgefordert. Benutzer können diesen Einrichtungsprozess nur dann überspringen, wenn die „Benutzergesteuerte MFA“-Richtlinie aktiviert ist.

  1. Anmelde- oder Registrierungsseite aufrufen: Der Benutzer navigiert zur Anmelde- oder Registrierungsseite.
  2. Anmeldung oder Registrierung abschließen: Der Benutzer schließt den Identitätsverifizierungsprozess im Anmelde- oder Registrierungsablauf ab.
  3. Primären MFA-Faktor einrichten: Der Benutzer wird aufgefordert, seinen primären MFA-Faktor einzurichten (entweder Authenticator App OTP oder WebAuthn). Wenn mehrere primäre Faktoren aktiviert sind, kann er seine bevorzugte Option wählen. Ist die „Benutzergesteuerte MFA“-Richtlinie aktiviert, kann er diesen Schritt auch durch Auswahl der Schaltfläche "Überspringen" auslassen.
  4. Backup-MFA-Faktor einrichten: Wenn Backup-Codes aktiviert sind, wird der Benutzer nach erfolgreicher Konfiguration des primären Authentifizierungsfaktors zur Einrichtung von Backup-Codes aufgefordert. Automatisch generierte Backup-Codes werden dem Benutzer angezeigt, die er herunterladen und sicher aufbewahren kann. Der Benutzer muss die Backup-Codes manuell bestätigen, um den MFA-Einrichtungsprozess abzuschließen.
MFA-Einrichtungsprozess

MFA-Verifizierungsprozess

Benutzer, die MFA eingerichtet haben, werden während der Anmeldung aufgefordert, ihre Identität mit den konfigurierten MFA-Faktoren zu verifizieren. Der Verifizierungsfaktor hängt von der MFA-Konfiguration in Logto und den Benutzereinstellungen ab.

  • Wenn ein Benutzer nur einen Faktor eingerichtet hat, wird dieser direkt verifiziert.
  • Wenn ein Benutzer mehrere Faktoren als 2FA eingerichtet hat, muss er einen zur Verifizierung auswählen.
  • Wenn alle aktivierten primären Faktoren für den Benutzer nicht verfügbar sind und Backup-Codes aktiviert sind, kann er den einmaligen Backup-Code zur Identitätsverifizierung verwenden.
MFA-Verifizierungsprozess

MFA-Verwaltung

Über die erstmalige Einrichtung bei Anmeldung / Registrierung hinaus können Benutzer ihre MFA-Einstellungen über ein Self-Service-Kontozentrum verwalten. Dies bietet Flexibilität, um MFA-Faktoren je nach Bedarf zu binden oder zu lösen.

Aufbau eines Kontozentrums

Du kannst ein umfassendes Kontozentrum mit Logtos Account API erstellen, das es Benutzern ermöglicht:

  • Neue MFA-Faktoren binden: Zusätzliche Authenticator-Apps, Passkeys hinzufügen oder Backup-Codes neu generieren
  • Bestehende MFA-Faktoren lösen: MFA-Methoden entfernen, die sie nicht mehr verwenden möchten
  • Aktuellen MFA-Status anzeigen: Sehen, welche MFA-Faktoren aktuell konfiguriert sind

MFA-Einrichtungsaufforderungen nach Anmeldung

Für Anwendungen, die MFA bei der Erstregistrierung nicht verlangen, kannst du intelligente Aufforderungen implementieren, um die MFA-Einrichtung zu fördern:

  • Bedingte Aufforderungen: Empfehlungen zur MFA-Einrichtung basierend auf Benutzerverhalten oder Kontowert anzeigen
  • Sicherheits-Dashboards: Sicherheitsbewertungen anzeigen, die sich verbessern, wenn MFA aktiviert ist
  • Schrittweises Onboarding: MFA-Einrichtung als Teil eines fortschreitenden Sicherheitsverbesserungsprozesses präsentieren

Erfahre mehr über die Implementierung dieser Muster mit der Account API.