Zum Hauptinhalt springen

MFA konfigurieren

MFA-Einstellungen in Logto konfigurieren

Folge diesen Schritten, um MFAs im Anmeldefluss der Benutzer in Logto zu aktivieren:

  1. Navigiere zu: Konsole > Multi-Faktor-Authentifizierung.
  2. Aktiviere die unterstützten Verifizierungsfaktoren für deine Benutzer.
    1. Primäre Faktoren:
      • Authenticator App OTP: Die gebräuchlichste und weit verbreitete Methode. Verwende ein zeitbasiertes Einmalpasswort (TOTP), das von einer Authenticator-App wie Google Authenticator oder Authy generiert wird.
      • Passkeys (WebAuthn): Eine hochsichere Option, geeignet für Webprodukte, die Gerätebiometrie oder Sicherheitsschlüssel unterstützen und somit einen robusten Schutz gewährleisten.
    2. Backup-Faktoren:
      • Backup-Codes: Dies dient als Backup-Option, wenn Benutzer keinen der oben genannten primären Faktoren verifizieren können. Die Aktivierung dieser Option reduziert die Reibung für den erfolgreichen Zugriff der Benutzer.
  3. Wähle die MFA-Richtlinieneinstellungen für die Benutzer:
    • Benutzerkontrollierte MFA: Benutzer können den MFA-Einrichtungsprozess während des Anmeldeflusses überspringen. Sie können sich später entscheiden, MFA über deine Self-Service-Kontoeinstellungsseite oder die von Logto gehostete Kontoeinstellungsseite (demnächst verfügbar) einzurichten. Erfahre mehr über die Implementierung einer Benutzerkontoeinstellungsseite.
    • Admin-erzwungene MFA: Du kannst MFA für alle Benutzer erzwingen. Benutzer werden aufgefordert, MFA während des Anmeldeprozesses einzurichten, was nicht übersprungen werden kann. Wenn der Benutzer es versäumt, MFA einzurichten oder seine MFA-Einstellungen löscht, wird er von seinem Konto ausgesperrt, bis er MFA erneut einrichtet.

MFA-Einstellungen

MFA-Benutzerfluss

MFA-Einrichtungsfluss

Sobald MFA aktiviert ist, werden Benutzer während des Anmelde- und Registrierungsprozesses aufgefordert, MFA einzurichten. Benutzer können diesen Einrichtungsprozess nur dann überspringen, wenn die Richtlinie „Benutzerkontrollierte MFA“ aktiviert ist.

  1. Besuche die Anmelde- oder Registrierungsseite: Der Benutzer navigiert zur Anmelde- oder Registrierungsseite.
  2. Abschließen der Anmeldung oder Registrierung: Der Benutzer schließt den Identitätsüberprüfungsprozess innerhalb des Anmelde- oder Registrierungsflusses ab.
  3. Einrichten des primären MFA-Faktors: Der Benutzer wird aufgefordert, seinen primären MFA-Faktor einzurichten (entweder Authenticator App OTP oder WebAuthn). Wenn mehrere primäre Faktoren aktiviert sind, können sie ihre bevorzugte Option wählen. Wenn die Richtlinie „Benutzerkontrollierte MFA“ aktiviert ist, können sie diesen Schritt auch überspringen, indem sie die Schaltfläche "Überspringen" auswählen.
  4. Einrichten des Backup-MFA-Faktors: Wenn Backup-Codes aktiviert sind, wird der Benutzer aufgefordert, Backup-Codes einzurichten, nachdem er seinen primären Authentifizierungsfaktor erfolgreich konfiguriert hat. Automatisch generierte Backup-Codes werden dem Benutzer angezeigt, die er herunterladen und sicher speichern kann. Der Benutzer muss die Backup-Codes manuell bestätigen, um den MFA-Einrichtungsprozess abzuschließen.

MFA-Einrichtungsfluss

MFA-Verifizierungsfluss

Benutzer, die MFA eingerichtet haben, werden während der Anmeldung aufgefordert, ihre Identität mit ihren konfigurierten MFA-Faktoren zu verifizieren. Der Verifizierungsfaktor hängt von der MFA-Konfiguration in Logto und den Benutzereinstellungen ab.

  • Wenn ein Benutzer nur einen Faktor eingerichtet hat, wird er diesen direkt verifizieren.
  • Wenn ein Benutzer mehrere Faktoren als 2FA eingerichtet hat, muss er einen zur Verifizierung auswählen.
  • Wenn alle aktivierten primären Faktoren dem Benutzer nicht zur Verfügung stehen und der Backup-Code aktiviert ist, kann er den einmaligen Backup-Code verwenden, um seine Identität zu verifizieren.

MFA-Verifizierungsfluss