Pular para o conteúdo principal

Configurar MFA

Configurar as definições de MFA no Logto

O Logto oferece opções flexíveis de configuração de MFA para atender a diferentes requisitos de segurança. Você pode configurar o MFA em nível global para todos os usuários ou habilitá-lo por organização para aplicativos multi-inquilino.

Configuração global de MFA

Siga estes passos para habilitar MFAs no fluxo de login dos usuários do Logto:

  1. Navegue até: Console > Autenticação multifatorial (MFA).
  2. Habilite os fatores de verificação suportados para seus usuários.
    1. Fatores primários:
      • OTP de aplicativo autenticador: O método mais comum e amplamente aceito. Use uma senha única baseada em tempo (TOTP) gerada por um aplicativo autenticador como Google Authenticator ou Authy.
      • Passkeys (WebAuthn): Uma opção de alta segurança adequada para produtos web que suportam biometria de dispositivo ou chaves de segurança, etc., garantindo proteção robusta.
    2. Fatores de backup:
      • Códigos de backup: Serve como uma opção de backup quando os usuários não conseguem verificar nenhum dos fatores primários mencionados acima. Habilitar esta opção reduz o atrito para o acesso bem-sucedido dos usuários.
  3. Escolha se deseja habilitar Exigir MFA:
    • Habilitar: Os usuários serão solicitados a configurar o MFA durante o processo de login, o que não pode ser ignorado. Se o usuário não configurar o MFA ou excluir suas configurações de MFA, ele ficará bloqueado fora da conta até configurar o MFA novamente.
    • Desabilitar: Os usuários podem pular o processo de configuração de MFA durante o fluxo de cadastro. Eles podem configurar o MFA posteriormente através da página de configurações de conta de autoatendimento. Saiba mais sobre como implementar uma página de configurações de conta do usuário. E continue escolhendo a política para o aviso de configuração de MFA:
      • Não pedir aos usuários para configurar MFA: Os usuários não serão solicitados a configurar o MFA durante o login.
      • Pedir aos usuários para configurar MFA durante o cadastro: Novos usuários serão solicitados a configurar o MFA durante o cadastro, e usuários existentes verão o aviso no próximo login. Os usuários podem pular esta etapa, e ela não aparecerá novamente.
      • Pedir aos usuários para configurar MFA no login após o cadastro: Novos usuários serão solicitados a configurar o MFA no segundo login após o cadastro, e usuários existentes verão o aviso no próximo login. Os usuários podem pular esta etapa, e ela não aparecerá novamente.
Configurações de MFA

Configuração de MFA por organização

Para produtos com arquitetura multi-inquilino que suportam Organizações, na maioria dos casos não é necessário exigir MFA para todos os usuários. Em vez disso, o MFA pode ser habilitado por organização, permitindo que você adapte os requisitos conforme a necessidade de cada cliente. Para começar, consulte Exigir MFA para membros da organização.

Fluxo do usuário MFA

Fluxo de configuração de MFA

Uma vez que o MFA esteja habilitado, os usuários serão solicitados a configurar o MFA durante o processo de login e cadastro. Os usuários podem optar por pular este processo de configuração se, e somente se, a política “MFA controlado pelo usuário” estiver habilitada.

  1. Acessar a página de login ou cadastro: O usuário navega até a página de login ou cadastro.
  2. Concluir login ou cadastro: O usuário conclui o processo de verificação de identidade dentro do fluxo de login ou cadastro.
  3. Configurar fator primário de MFA: O usuário é solicitado a configurar seu fator primário de MFA (OTP de aplicativo autenticador ou WebAuthn). Se vários fatores primários estiverem habilitados, ele pode escolher a opção preferida. Se a política “MFA controlado pelo usuário” estiver habilitada, ele também pode pular esta etapa selecionando o botão "Pular".
  4. Configurar fator de backup de MFA: Se Códigos de backup estiverem habilitados, o usuário será solicitado a configurar códigos de backup após configurar com sucesso o fator primário de autenticação. Códigos de backup gerados automaticamente serão exibidos ao usuário, que poderá baixá-los e armazená-los com segurança. O usuário deve confirmar manualmente os códigos de backup para concluir o processo de configuração do MFA.
Fluxo de configuração de MFA

Fluxo de verificação de MFA

Usuários que configuraram o MFA serão solicitados a verificar sua identidade usando os fatores de MFA configurados durante o login. O fator de verificação dependerá da configuração de MFA no Logto e das configurações do usuário.

  • Se um usuário configurou apenas um fator, ele o verificará diretamente.
  • Se um usuário configurou múltiplos fatores como 2FA, precisará escolher um para verificar.
  • Se todos os fatores primários habilitados não estiverem disponíveis para o usuário, e o código de backup estiver habilitado, ele poderá usar o código de backup único para verificar sua identidade.
Fluxo de verificação de MFA

Gerenciamento de MFA

Além da configuração inicial durante o login / cadastro, os usuários podem gerenciar suas configurações de MFA através de um centro de conta de autoatendimento. Isso proporciona flexibilidade para os usuários vincularem ou desvincularem fatores de MFA conforme suas necessidades.

Construindo um centro de conta

Você pode construir um centro de conta abrangente usando a Account API do Logto, que permite aos usuários:

  • Vincular novos fatores de MFA: Adicionar aplicativos autenticadores adicionais, passkeys ou regenerar códigos de backup
  • Desvincular fatores de MFA existentes: Remover métodos de MFA que não desejam mais usar
  • Visualizar o status atual do MFA: Ver quais fatores de MFA estão atualmente configurados

Avisos de configuração de MFA pós-login

Para aplicativos que não exigem MFA durante o cadastro inicial, você pode implementar avisos inteligentes para incentivar a configuração do MFA:

  • Avisos condicionais: Exibir recomendações de configuração de MFA com base no comportamento do usuário ou valor da conta
  • Painéis de segurança: Exibir pontuações de segurança que melhoram quando o MFA está habilitado
  • Onboarding gradual: Apresentar a configuração de MFA como parte de um fluxo progressivo de aprimoramento de segurança

Saiba mais sobre como implementar esses padrões com a Account API.