MFA konfigurieren
MFA-Einstellungen in Logto konfigurieren
Folge diesen Schritten, um MFAs im Anmeldefluss der Benutzer in Logto zu aktivieren:
- Navigiere zu: Konsole > Multi-Faktor-Authentifizierung.
- Aktiviere die unterstützten Verifizierungsfaktoren für deine Benutzer.
- Primäre Faktoren:
- Authenticator App OTP: Die gebräuchlichste und weit verbreitete Methode. Verwende ein zeitbasiertes Einmalpasswort (TOTP), das von einer Authenticator-App wie Google Authenticator oder Authy generiert wird.
- Passkeys (WebAuthn): Eine hochsichere Option, geeignet für Webprodukte, die Gerätebiometrie oder Sicherheitsschlüssel unterstützen und somit einen robusten Schutz gewährleisten.
- Backup-Faktoren:
- Backup-Codes: Dies dient als Backup-Option, wenn Benutzer keinen der oben genannten primären Faktoren verifizieren können. Die Aktivierung dieser Option reduziert die Reibung für den erfolgreichen Zugriff der Benutzer.
- Primäre Faktoren:
- Wähle, ob du MFA erforderlich aktivieren möchtest:
- Aktivieren: Benutzer werden aufgefordert, MFA während des Anmeldeprozesses einzurichten, was nicht übersprungen werden kann. Wenn der Benutzer es versäumt, MFA einzurichten oder seine MFA-Einstellungen löscht, wird er von seinem Konto ausgesperrt, bis er MFA erneut einrichtet.
- Deaktivieren: Benutzer können den MFA-Einrichtungsprozess während des Anmeldeflusses überspringen. Sie können MFA später über deine Selbstbedienungs-Kontoeinstellungsseite einrichten. Erfahre mehr über die Implementierung einer Benutzerkontoeinstellungsseite. Und wähle weiterhin die Richtlinie für die MFA-Einrichtungsaufforderung:
- Benutzer nicht zur MFA-Einrichtung auffordern: Benutzer werden nicht aufgefordert, MFA während der Anmeldung einzurichten.
- Benutzer zur MFA-Einrichtung während der Registrierung auffordern: Neue Benutzer werden während der Registrierung zur MFA-Einrichtung aufgefordert, und bestehende Benutzer sehen die Aufforderung bei ihrer nächsten Anmeldung. Benutzer können diesen Schritt überspringen, und er wird nicht erneut angezeigt.
- Benutzer zur MFA-Einrichtung bei ihrer Anmeldung nach der Registrierung auffordern: Neue Benutzer werden bei ihrer zweiten Anmeldung nach der Registrierung zur MFA-Einrichtung aufgefordert, und bestehende Benutzer sehen die Aufforderung bei ihrer nächsten Anmeldung. Benutzer können diesen Schritt überspringen, und er wird nicht erneut angezeigt.
MFA-Benutzerfluss
MFA-Einrichtungsfluss
Sobald MFA aktiviert ist, werden Benutzer während des Anmelde- und Registrierungsprozesses aufgefordert, MFA einzurichten. Benutzer können diesen Einrichtungsprozess nur dann überspringen, wenn die „Benutzerkontrollierte MFA“-Richtlinie aktiviert ist.
- Anmelde- oder Registrierungsseite besuchen: Der Benutzer navigiert zur Anmelde- oder Registrierungsseite.
- Anmeldung oder Registrierung abschließen: Der Benutzer schließt den Identitätsüberprüfungsprozess innerhalb des Anmelde- oder Registrierungsflusses ab.
- Primären MFA-Faktor einrichten: Der Benutzer wird aufgefordert, seinen primären MFA-Faktor einzurichten (entweder Authenticator App OTP oder WebAuthn). Wenn mehrere primäre Faktoren aktiviert sind, können sie ihre bevorzugte Option wählen. Wenn die „Benutzerkontrollierte MFA“-Richtlinie aktiviert ist, können sie diesen Schritt auch überspringen, indem sie die Schaltfläche "Überspringen" auswählen.
- Backup-MFA-Faktor einrichten: Wenn Backup-Codes aktiviert sind, wird der Benutzer aufgefordert, Backup-Codes einzurichten, nachdem er seinen primären Authentifizierungsfaktor erfolgreich konfiguriert hat. Automatisch generierte Backup-Codes werden dem Benutzer angezeigt, die er herunterladen und sicher speichern kann. Der Benutzer muss die Backup-Codes manuell bestätigen, um den MFA-Einrichtungsprozess abzuschließen.
MFA-Verifizierungsfluss
Benutzer, die MFA eingerichtet haben, werden während der Anmeldung aufgefordert, ihre Identität mit den konfigurierten MFA-Faktoren zu verifizieren. Der Verifizierungsfaktor hängt von der MFA-Konfiguration in Logto und den Benutzereinstellungen ab.
- Wenn ein Benutzer nur einen Faktor eingerichtet hat, wird er diesen direkt verifizieren.
- Wenn ein Benutzer mehrere Faktoren als 2FA eingerichtet hat, muss er einen zur Verifizierung auswählen.
- Wenn alle aktivierten primären Faktoren dem Benutzer nicht zur Verfügung stehen und Backup-Codes aktiviert sind, kann er den einmaligen Backup-Code verwenden, um seine Identität zu verifizieren.