ตั้งค่า MFA

ตั้งค่าการใช้งาน MFA ใน Logto

Logto มีตัวเลือกการตั้งค่า MFA ที่ยืดหยุ่นเพื่อตอบโจทย์ความต้องการด้านความปลอดภัยที่แตกต่างกัน คุณสามารถตั้งค่า MFA ในระดับโกลบอลสำหรับผู้ใช้ทุกคน หรือเปิดใช้งานเป็นรายองค์กรสำหรับแอปพลิเคชันแบบหลายผู้เช่า (multi-tenant)

การตั้งค่า MFA ระดับโกลบอล

ทำตามขั้นตอนเหล่านี้เพื่อเปิดใช้งาน MFA ในขั้นตอนการลงชื่อเข้าใช้ของผู้ใช้ Logto:

ไปที่: Console > Multi-factor auth
เปิดใช้งานปัจจัยการยืนยันตัวตนที่รองรับสำหรับผู้ใช้ของคุณ
1. ปัจจัยหลัก:
  - Passkeys (WebAuthn): ตัวเลือกความปลอดภัยสูง เหมาะสำหรับผลิตภัณฑ์เว็บที่รองรับไบโอเมตริกซ์ของอุปกรณ์หรือคีย์ความปลอดภัย ฯลฯ เพื่อการปกป้องที่แข็งแกร่ง
  - Authenticator App OTP: วิธีที่พบได้บ่อยและได้รับการยอมรับมากที่สุด ใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ที่สร้างโดยแอป Authenticator เช่น Google Authenticator หรือ Authy
  - SMS verification: วิธีที่สะดวก ส่งรหัสยืนยันแบบใช้ครั้งเดียวผ่าน SMS ไปยังหมายเลขโทรศัพท์ที่ลงทะเบียน เหมาะสำหรับผู้ใช้ที่ต้องการยืนยันตัวตนผ่านมือถือโดยไม่ต้องติดตั้งแอปเพิ่ม
  - Email verification: วิธีที่เข้าถึงได้ง่าย ส่งรหัสยืนยันแบบใช้ครั้งเดียวไปยังอีเมลที่ลงทะเบียน เหมาะกับผู้ใช้ทุกแพลตฟอร์มและอุปกรณ์
2. ปัจจัยสำรอง:
  - Backup codes: ใช้เป็นตัวเลือกสำรองเมื่อผู้ใช้ไม่สามารถยืนยันตัวตนด้วยปัจจัยหลักข้างต้น การเปิดใช้งานนี้ช่วยลดอุปสรรคในการเข้าถึงของผู้ใช้
เลือกว่าต้องการเปิดใช้งาน Require MFA หรือไม่:
- Enable: ผู้ใช้จะถูกบังคับให้ตั้งค่า MFA ระหว่างขั้นตอนการลงชื่อเข้าใช้ ไม่สามารถข้ามได้ หากผู้ใช้ไม่ตั้งค่า MFA หรือทำการลบการตั้งค่า MFA จะไม่สามารถเข้าบัญชีได้จนกว่าจะตั้งค่า MFA ใหม่
- Disable: ผู้ใช้สามารถข้ามขั้นตอนการตั้งค่า MFA ระหว่างการสมัครสมาชิกได้ และสามารถตั้งค่า MFA ภายหลังผ่านหน้าตั้งค่าบัญชีด้วยตนเอง เรียนรู้เพิ่มเติม เกี่ยวกับการสร้างหน้าตั้งค่าบัญชีผู้ใช้ และเลือกนโยบายสำหรับการแจ้งเตือนการตั้งค่า MFA ต่อไปนี้:
  - Do not ask users to set up MFA: จะไม่มีการแจ้งเตือนให้ผู้ใช้ตั้งค่า MFA ระหว่างการลงชื่อเข้าใช้
  - Ask users to set up MFA during registration: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ระหว่างการสมัครสมาชิก และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่ปรากฏอีก
  - Ask users to set up MFA on their sign-in after registration: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ในการลงชื่อเข้าใช้ครั้งที่สองหลังสมัครสมาชิก และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่ปรากฏอีก

การตั้งค่า MFA ระดับองค์กร

สำหรับผลิตภัณฑ์ที่มีสถาปัตยกรรมแบบหลายผู้เช่า (multi-tenant) และรองรับ องค์กร (Organizations) โดยส่วนใหญ่คุณไม่จำเป็นต้องบังคับใช้ MFA กับผู้ใช้ทุกคน แต่สามารถเปิดใช้งาน MFA เป็นรายองค์กร เพื่อปรับแต่งตามความต้องการของลูกค้าแต่ละรายได้ ดูวิธีเริ่มต้นได้ที่ การบังคับใช้ MFA สำหรับสมาชิกองค์กร

กระบวนการใช้งาน MFA ของผู้ใช้

กระบวนการตั้งค่า MFA

เมื่อเปิดใช้งาน MFA แล้ว ผู้ใช้จะถูกแจ้งให้ตั้งค่า MFA ระหว่างขั้นตอนการลงชื่อเข้าใช้และสมัครสมาชิก ผู้ใช้สามารถเลือกข้ามขั้นตอนนี้ได้ก็ต่อเมื่อปิดใช้งานนโยบาย “Require MFA”

เข้าสู่หน้าลงชื่อเข้าใช้หรือสมัครสมาชิก: ผู้ใช้เข้าสู่หน้าลงชื่อเข้าใช้หรือสมัครสมาชิก
ดำเนินการยืนยันตัวตนให้เสร็จสมบูรณ์: ผู้ใช้ดำเนินการยืนยันตัวตนในขั้นตอนการลงชื่อเข้าใช้หรือสมัครสมาชิก
ตั้งค่าปัจจัยหลักของ MFA: ผู้ใช้จะถูกแจ้งให้ตั้งค่าปัจจัยหลักของ MFA (เช่น passkey, Authenticator app OTP, รหัส SMS หรือรหัสอีเมล)
- หากเปิดใช้งานปัจจัยหลักหลายรายการ ผู้ใช้สามารถเลือกตัวเลือกที่ต้องการได้
- หากปัจจัยหลักตรงกับตัวระบุที่ใช้สมัครสมาชิก (เช่น SMS หรืออีเมล) จะได้รับการยืนยันล่วงหน้า ผู้ใช้สามารถข้ามขั้นตอนการยืนยันและไปขั้นตอนถัดไปได้ทันที (เช่น “เพิ่มการยืนยันสองขั้นตอนอื่น” หรือ “บันทึกรหัสสำรอง”)
- หากปิดใช้งานนโยบาย “Require MFA” ผู้ใช้สามารถข้ามขั้นตอนนี้ได้โดยกดปุ่ม "ข้าม"
ตั้งค่าปัจจัยสำรองของ MFA: หากเปิดใช้งาน Backup codes ผู้ใช้จะถูกแจ้งให้บันทึกรหัสสำรองหลังตั้งค่าปัจจัยหลักสำเร็จ ระบบจะแสดงรหัสสำรองที่สร้างอัตโนมัติให้ผู้ใช้ดาวน์โหลดและเก็บไว้อย่างปลอดภัย ผู้ใช้ต้องยืนยันรหัสสำรองด้วยตนเองเพื่อให้การตั้งค่า MFA เสร็จสมบูรณ์

กระบวนการยืนยัน MFA

ผู้ใช้ที่ตั้งค่า MFA แล้วจะถูกแจ้งให้ยืนยันตัวตนด้วยปัจจัย MFA ที่ตั้งค่าไว้ระหว่างการลงชื่อเข้าใช้ โดยปัจจัยที่ใช้ขึ้นอยู่กับการตั้งค่า MFA ใน Logto และการตั้งค่าของผู้ใช้

หากผู้ใช้ตั้งค่าเพียงปัจจัยเดียว จะต้องยืนยันปัจจัยนั้นโดยตรง
หากผู้ใช้ตั้งค่าหลายปัจจัยสำหรับ 2FA ระบบจะนำเสนอทางเลือกการยืนยันตามลำดับความสำคัญดังนี้:
- Passkey priority: หากผู้ใช้ตั้งค่า passkey ไว้ จะถูกนำเสนอเป็นวิธีเริ่มต้น
- Last-used preference: หากไม่มี passkey ระบบจะเลือกวิธีที่ผู้ใช้ใช้สำเร็จล่าสุด
- Selection list: หากไม่เข้าเงื่อนไขข้างต้น หน้าการยืนยันสองขั้นตอนจะแสดงวิธีที่ผูกไว้ทั้งหมดให้ผู้ใช้เลือก
- ผู้ใช้สามารถคลิก "ลองวิธีอื่นในการยืนยัน" เพื่อสลับวิธีการยืนยันได้ตลอดเวลา
หากผู้ใช้ไม่สามารถใช้ปัจจัยหลักที่เปิดใช้งานได้เลย และเปิดใช้งานรหัสสำรองไว้ สามารถใช้รหัสสำรองแบบใช้ครั้งเดียวเพื่อยืนยันตัวตนได้

การจัดการ MFA

นอกเหนือจากการตั้งค่าเริ่มต้นระหว่างการลงชื่อเข้าใช้ / สมัครสมาชิก ผู้ใช้ยังสามารถจัดการการตั้งค่า MFA ได้ด้วยตนเองผ่านศูนย์บัญชี (account center) เพื่อความยืดหยุ่นในการผูกหรือยกเลิกการผูกปัจจัย MFA ตามต้องการ

การสร้างศูนย์บัญชี

คุณสามารถสร้างศูนย์บัญชีที่ครบถ้วนโดยใช้ Account API ของ Logto ซึ่งช่วยให้ผู้ใช้สามารถ:

ผูกปัจจัย MFA ใหม่: เพิ่มแอป Authenticator, passkey หรือสร้างรหัสสำรองใหม่
ยกเลิกการผูกปัจจัย MFA เดิม: ลบวิธี MFA ที่ไม่ต้องการใช้งาน
ดูสถานะ MFA ปัจจุบัน: ตรวจสอบว่าตั้งค่าปัจจัย MFA อะไรไว้บ้าง

สำหรับแอปที่ไม่บังคับใช้ MFA ระหว่างการสมัครสมาชิก คุณสามารถเพิ่มการแจ้งเตือนอัจฉริยะเพื่อกระตุ้นให้ผู้ใช้ตั้งค่า MFA ได้ เช่น

Conditional prompts: แนะนำการตั้งค่า MFA ตามพฤติกรรมหรือมูลค่าบัญชีของผู้ใช้
Security dashboards: แสดงคะแนนความปลอดภัยที่เพิ่มขึ้นเมื่อเปิดใช้งาน MFA
Gradual onboarding: นำเสนอการตั้งค่า MFA เป็นส่วนหนึ่งของกระบวนการเพิ่มความปลอดภัยแบบค่อยเป็นค่อยไป

เรียนรู้เพิ่มเติมเกี่ยวกับการใช้งานรูปแบบเหล่านี้ด้วย Account API

จัดการ MFA ของผู้ใช้ใน Console

ใน Console > User management ผู้ดูแลระบบสามารถจัดการการตั้งค่า MFA ของผู้ใช้ได้อย่างมีประสิทธิภาพ:

ดูสถานะ MFA ของผู้ใช้: ตรวจสอบว่าผู้ใช้แต่ละรายเปิดใช้งานปัจจัย MFA อะไรบ้าง
ลบ MFA ของผู้ใช้: ลบปัจจัย MFA ทั้งหมดของผู้ใช้ ทำให้ต้องตั้งค่า MFA ใหม่

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นเมื่อผู้ดูแลระบบลบปัจจัย MFA เดิมของผู้ใช้?

เมื่อผู้ดูแลระบบลบปัจจัย MFA หลักทั้งหมดของผู้ใช้ (passkey, authenticator app OTP, SMS หรืออีเมล) จะเกิดสถานการณ์ต่อไปนี้ในการลงชื่อเข้าใช้ครั้งถัดไปของผู้ใช้:

สถานการณ์ที่ 1: ไม่มีปัจจัย MFA เหลืออยู่เลย

หากไม่มีปัจจัย MFA ใด ๆ (รวมถึงไม่มีรหัสสำรอง) และ นโยบาย MFA กำหนดให้ต้องใช้ MFA ผู้ใช้จะสามารถลงชื่อเข้าใช้ได้โดยไม่ต้องยืนยัน MFA และจะถูกแจ้งให้ตั้งค่า MFA ใหม่ทันที

สถานการณ์ที่ 2: ยังมีรหัสสำรองเหลืออยู่

หากยังมีรหัสสำรองเหลืออยู่ ผู้ใช้ต้องยืนยันตัวตนด้วยรหัสสำรองก่อนระหว่างการลงชื่อเข้าใช้
หลังจากยืนยันรหัสสำรองสำเร็จ ผู้ใช้จะถูกแจ้งให้ตั้งค่าปัจจัย MFA หลักใหม่
ผู้ใช้จะสามารถข้ามขั้นตอนนี้ได้หรือไม่ขึ้นอยู่กับนโยบาย MFA ที่คุณตั้งค่าไว้
วิธีนี้ช่วยป้องกันไม่ให้ผู้ใช้ถูกล็อกบัญชีเมื่อไม่มีปัจจัยหลักเหลืออยู่

ตั้งค่าการใช้งาน MFA ใน Logto​

การตั้งค่า MFA ระดับโกลบอล​

การตั้งค่า MFA ระดับองค์กร​

กระบวนการใช้งาน MFA ของผู้ใช้​

กระบวนการตั้งค่า MFA​

กระบวนการยืนยัน MFA​

การจัดการ MFA​

การสร้างศูนย์บัญชี​

การแจ้งเตือนการตั้งค่า MFA หลังเข้าสู่ระบบ​

จัดการ MFA ของผู้ใช้ใน Console​

คำถามที่พบบ่อย​

จะเกิดอะไรขึ้นเมื่อผู้ดูแลระบบลบปัจจัย MFA เดิมของผู้ใช้?​