Saltar al contenido principal

Configurar MFA

Configurar los ajustes de MFA en Logto

Logto ofrece opciones flexibles de configuración de MFA para satisfacer diferentes requisitos de seguridad. Puedes configurar MFA a nivel global para todos los usuarios o habilitarlo por organización para aplicaciones multi-inquilino.

Configuración global de MFA

Sigue estos pasos para habilitar MFA en el flujo de inicio de sesión de los usuarios en Logto:

  1. Navega a: Consola > Autenticación multifactor.
  2. Habilita los factores de verificación compatibles para tus usuarios.
    1. Factores primarios:
      • Llaves de acceso (WebAuthn): Una opción de alta seguridad adecuada para productos web que admiten biometría de dispositivos o llaves de seguridad, etc., garantizando una protección robusta.
      • OTP de aplicación autenticadora: El método más común y ampliamente aceptado. Utiliza una contraseña de un solo uso basada en tiempo (TOTP) generada por una aplicación autenticadora como Google Authenticator o Authy.
      • Verificación por SMS: Un método conveniente que envía códigos de verificación de un solo uso por SMS al número de teléfono registrado del usuario, ideal para quienes prefieren la autenticación móvil sin aplicaciones adicionales.
      • Verificación por correo electrónico: Un método ampliamente accesible que envía códigos de verificación de un solo uso al correo electrónico registrado del usuario, adecuado para usuarios en todas las plataformas y dispositivos.
    2. Factores de respaldo:
      • Códigos de respaldo: Sirve como opción de respaldo cuando los usuarios no pueden verificar ninguno de los factores primarios mencionados. Habilitar esta opción reduce la fricción para que los usuarios accedan exitosamente.
  3. Elige si deseas habilitar Requerir MFA:
    • Habilitar: Se pedirá a los usuarios configurar MFA durante el proceso de inicio de sesión, el cual no se puede omitir. Si el usuario no configura MFA o elimina sus ajustes de MFA, quedará bloqueado de su cuenta hasta que configure MFA nuevamente.
    • Deshabilitar: Los usuarios pueden omitir el proceso de configuración de MFA durante el flujo de registro. Pueden configurar MFA más tarde a través de la página de configuración de cuenta de autoservicio. Aprende más sobre cómo implementar una página de configuración de cuenta de usuario. Y continúa eligiendo la política para el aviso de configuración de MFA:
      • No pedir a los usuarios que configuren MFA: No se pedirá a los usuarios configurar MFA durante el inicio de sesión.
      • Pedir a los usuarios que configuren MFA durante el registro: Se pedirá a los nuevos usuarios configurar MFA durante el registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso y no volverá a aparecer.
      • Pedir a los usuarios que configuren MFA en su inicio de sesión después del registro: Se pedirá a los nuevos usuarios configurar MFA en su segundo inicio de sesión después del registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso y no volverá a aparecer.
Configuración de MFA

Configuración de MFA a nivel de organización

Para productos con una arquitectura multi-inquilino que admiten Organizaciones, en la mayoría de los casos no necesitas requerir MFA para todos los usuarios. En su lugar, MFA puede habilitarse por organización, permitiéndote adaptar los requisitos según las necesidades de cada cliente. Para comenzar, consulta Requerir MFA para miembros de la organización.

Flujo de usuario de MFA

Flujo de configuración de MFA

Una vez habilitado MFA, se pedirá a los usuarios configurar MFA durante el proceso de inicio de sesión y registro. Los usuarios pueden optar por omitir este proceso de configuración solo si la política “Requerir MFA” está deshabilitada.

  1. Visitar la página de inicio de sesión o registro: El usuario navega a la página de inicio de sesión o registro.
  2. Completa el inicio de sesión o registro: El usuario completa el proceso de verificación de identidad dentro del flujo de inicio de sesión o registro.
  3. Configurar el factor primario de MFA: Se solicita al usuario configurar su factor primario de MFA (ya sea llave de acceso, OTP de aplicación autenticadora, código SMS o código por correo electrónico).
    • Si hay varios factores primarios habilitados, pueden elegir su opción preferida.
    • Si el factor primario es el mismo que el identificador de registro (por ejemplo, SMS o correo electrónico), se verificará previamente, permitiendo a los usuarios omitir el paso de verificación y continuar directamente al siguiente paso (por ejemplo, "Agregar otra verificación en 2 pasos" o "Guarda tus factores de respaldo").
    • Si la política “Requerir MFA” está deshabilitada, también pueden omitir este paso seleccionando el botón "Omitir".
  4. Configurar el factor de respaldo de MFA: Si los Códigos de respaldo están habilitados, se pedirá al usuario guardar los códigos de respaldo después de configurar exitosamente su factor de autenticación primario. Se mostrarán códigos de respaldo generados automáticamente, que el usuario puede descargar y almacenar de forma segura. El usuario debe confirmar manualmente los códigos de respaldo para completar el proceso de configuración de MFA.
Flujo de configuración de MFA

Flujo de verificación de MFA

Los usuarios que hayan configurado MFA deberán verificar su identidad usando los factores de MFA configurados durante el inicio de sesión. El factor de verificación dependerá de la configuración de MFA en Logto y de los ajustes del usuario.

  • Si un usuario solo ha configurado un factor, lo verificará directamente.
  • Si un usuario ha configurado varios factores para 2FA, el sistema presentará opciones de verificación según las siguientes reglas de prioridad:
    • Prioridad de llave de acceso: Si el usuario tiene una llave de acceso configurada, se presentará como el método de verificación predeterminado.
    • Preferencia de último uso: Si no hay llave de acceso disponible, el sistema priorizará el método de verificación que el usuario utilizó exitosamente por última vez.
    • Lista de selección: Si ninguna de las prioridades anteriores aplica, la página de verificación en 2 pasos mostrará todos los métodos de verificación vinculados disponibles para que el usuario elija.
    • Los usuarios pueden hacer clic en "Probar otro método de verificación" para cambiar entre diferentes opciones de verificación en cualquier momento.
  • Si todos los factores primarios habilitados no están disponibles para el usuario, y el código de respaldo está habilitado, pueden usar el código de respaldo de un solo uso para verificar su identidad.
Flujo de verificación de MFA

Gestión de MFA

Más allá de la configuración inicial durante el inicio de sesión/registro, los usuarios pueden gestionar sus ajustes de MFA a través de un centro de cuentas de autoservicio. Esto proporciona flexibilidad para que los usuarios vinculen o desvinculen factores de MFA según sus necesidades.

Construir un centro de cuentas

Puedes construir un centro de cuentas completo usando la Account API de Logto, que permite a los usuarios:

  • Vincular nuevos factores de MFA: Agregar aplicaciones autenticadoras adicionales, llaves de acceso o regenerar códigos de respaldo
  • Desvincular factores de MFA existentes: Eliminar métodos de MFA que ya no deseen usar
  • Ver el estado actual de MFA: Ver qué factores de MFA están configurados actualmente

Avisos de configuración de MFA después del inicio de sesión

Para aplicaciones que no requieren MFA durante el registro inicial, puedes implementar avisos inteligentes para fomentar la configuración de MFA:

  • Avisos condicionales: Mostrar recomendaciones de configuración de MFA según el comportamiento del usuario o el valor de la cuenta
  • Paneles de seguridad: Mostrar puntuaciones de seguridad que mejoran cuando se habilita MFA
  • Incorporación gradual: Presentar la configuración de MFA como parte de un flujo progresivo de mejora de seguridad

Aprende más sobre cómo implementar estos patrones con la Account API.

Gestionar el MFA del usuario en la Consola

En la Consola > Gestión de usuarios, los administradores pueden gestionar eficazmente los ajustes de MFA de los usuarios:

  • Ver el estado de MFA del usuario: Comprobar qué factores de MFA están habilitados para cada usuario.
  • Eliminar el MFA del usuario: Eliminar todos los factores de MFA de un usuario, requiriendo que configure MFA nuevamente.

Preguntas frecuentes

¿Qué sucede cuando los administradores eliminan los factores de MFA existentes de un usuario?

Cuando los administradores eliminan todos los factores de MFA primarios de un usuario (llave de acceso, OTP de aplicación autenticadora, SMS o correo electrónico), ocurrirán los siguientes escenarios durante el próximo inicio de sesión del usuario:

Escenario 1: No quedan factores de MFA

  • Si no existen factores de MFA (incluyendo que no haya códigos de respaldo) y la política de MFA requiere MFA, se permitirá al usuario iniciar sesión sin verificación de MFA y se le pedirá inmediatamente que configure MFA nuevamente.

Escenario 2: Aún existen códigos de respaldo

  • Si aún hay códigos de respaldo disponibles, el usuario debe primero verificar usando un código de respaldo durante el inicio de sesión.
  • Tras la verificación exitosa del código de respaldo, se pedirá al usuario configurar un nuevo factor primario de MFA.
  • Si el usuario puede omitir esta configuración depende de la política de MFA configurada.
  • Este enfoque evita que los usuarios queden bloqueados de sus cuentas cuando no hay factores primarios disponibles.