Configurar MFA
Configurar ajustes de MFA en Logto
Sigue estos pasos para habilitar MFA en el flujo de inicio de sesión de los usuarios en Logto:
- Navega a: Consola > Autenticación multifactor.
- Habilita los factores de verificación compatibles para tus usuarios.
- Factores primarios:
- OTP de la aplicación de autenticación: El método más común y ampliamente aceptado. Utiliza una contraseña de un solo uso basada en tiempo (TOTP) generada por una aplicación de autenticación como Google Authenticator o Authy.
- Passkeys (WebAuthn): Una opción de alta seguridad adecuada para productos web que admiten biometría de dispositivos o claves de seguridad, etc., asegurando una protección robusta.
- Factores de respaldo:
- Códigos de respaldo: Esto sirve como una opción de respaldo cuando los usuarios no pueden verificar ninguno de los factores primarios mencionados anteriormente. Habilitar esta opción reduce la fricción para el acceso exitoso de los usuarios.
- Factores primarios:
- Elige si deseas habilitar Requerir MFA:
- Habilitar: Se pedirá a los usuarios que configuren MFA durante el proceso de inicio de sesión, el cual no se puede omitir. Si el usuario no configura MFA o elimina sus ajustes de MFA, se bloqueará su cuenta hasta que configuren MFA nuevamente.
- Deshabilitar: Los usuarios pueden omitir el proceso de configuración de MFA durante el flujo de registro. Pueden configurar MFA más tarde a través de tu página de configuración de cuenta de autoservicio. Aprende más sobre cómo implementar una página de configuración de cuenta de usuario. Y continúa eligiendo la política para el aviso de configuración de MFA:
- No pedir a los usuarios que configuren MFA: No se pedirá a los usuarios que configuren MFA durante el inicio de sesión.
- Pedir a los usuarios que configuren MFA durante el registro: Se pedirá a los nuevos usuarios que configuren MFA durante el registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso, y no volverá a aparecer.
- Pedir a los usuarios que configuren MFA en su inicio de sesión después del registro: Se pedirá a los nuevos usuarios que configuren MFA en su segundo inicio de sesión después del registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso, y no volverá a aparecer.
Flujo de usuario de MFA
Flujo de configuración de MFA
Una vez que MFA está habilitado, se pedirá a los usuarios que configuren MFA durante el proceso de inicio de sesión y registro. Los usuarios pueden optar por omitir este proceso de configuración si y solo si la política de "MFA controlado por el usuario" está habilitada.
- Visitar la página de inicio de sesión o registro: El usuario navega a la página de inicio de sesión o registro.
- Completa el inicio de sesión o registro: El usuario completa el proceso de verificación de identidad dentro del flujo de inicio de sesión o registro.
- Configurar el factor primario de MFA: Se pide al usuario que configure su factor primario de MFA (ya sea OTP de la aplicación de autenticación o WebAuthn). Si se habilitan múltiples factores primarios, pueden elegir su opción preferida. Si la política de "MFA controlado por el usuario" está habilitada, también pueden omitir este paso seleccionando el botón "Omitir".
- Configurar el factor de respaldo de MFA: Si se habilitan Códigos de respaldo, se pide al usuario que configure códigos de respaldo después de configurar con éxito su factor de autenticación primario. Se mostrarán códigos de respaldo generados automáticamente al usuario, que pueden descargar y almacenar de forma segura. El usuario debe confirmar manualmente los códigos de respaldo para completar el proceso de configuración de MFA.
Flujo de verificación de MFA
A los usuarios que han configurado MFA se les pedirá que verifiquen su identidad utilizando sus factores de MFA configurados durante el inicio de sesión. El factor de verificación dependerá de la configuración de MFA en Logto y de los ajustes del usuario.
- Si un usuario ha configurado solo un factor, lo verificará directamente.
- Si un usuario ha configurado múltiples factores como 2FA, necesitará elegir uno para verificar.
- Si todos los factores primarios habilitados no están disponibles para el usuario, y el código de respaldo está habilitado, pueden usar el código de respaldo de un solo uso para verificar su identidad.
