ตั้งค่า MFA

ตั้งค่าการยืนยันตัวตนหลายปัจจัย (MFA) ใน Logto

Logto มีตัวเลือกการตั้งค่า MFA ที่ยืดหยุ่นเพื่อตอบสนองความต้องการด้านความปลอดภัยที่แตกต่างกัน คุณสามารถตั้งค่า MFA ในระดับโกลบอลสำหรับผู้ใช้ทุกคน หรือเปิดใช้งานเป็นรายองค์กรสำหรับแอปพลิเคชันแบบหลายผู้เช่า (multi-tenant)

การตั้งค่า MFA ระดับโกลบอล

ทำตามขั้นตอนเหล่านี้เพื่อเปิดใช้งาน MFA ในขั้นตอนการลงชื่อเข้าใช้ของผู้ใช้ Logto:

ไปที่: Console > Multi-factor auth
เปิดใช้งานปัจจัยการยืนยันตัวตนที่รองรับสำหรับผู้ใช้ของคุณ
1. ปัจจัยหลัก:
  - Authenticator App OTP: วิธีที่พบได้บ่อยและได้รับการยอมรับอย่างกว้างขวาง ใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ที่สร้างโดยแอปยืนยันตัวตน เช่น Google Authenticator หรือ Authy
  - Passkeys (WebAuthn): ตัวเลือกความปลอดภัยสูง เหมาะสำหรับผลิตภัณฑ์เว็บที่รองรับไบโอเมตริกซ์ของอุปกรณ์หรือกุญแจความปลอดภัย ฯลฯ เพื่อความปลอดภัยที่แข็งแกร่ง
2. ปัจจัยสำรอง:
  - รหัสสำรอง (Backup codes): ใช้เป็นตัวเลือกสำรองเมื่อผู้ใช้ไม่สามารถยืนยันตัวตนด้วยปัจจัยหลักข้างต้น การเปิดใช้งานตัวเลือกนี้ช่วยลดอุปสรรคในการเข้าถึงของผู้ใช้
เลือกว่าคุณต้องการเปิดใช้งาน Require MFA หรือไม่:
- เปิดใช้งาน: ผู้ใช้จะถูกแจ้งให้ตั้งค่า MFA ระหว่างขั้นตอนการลงชื่อเข้าใช้ และไม่สามารถข้ามได้ หากผู้ใช้ไม่ตั้งค่า MFA หรือทำการลบการตั้งค่า MFA จะไม่สามารถเข้าบัญชีได้จนกว่าจะตั้งค่า MFA ใหม่
- ปิดใช้งาน: ผู้ใช้สามารถข้ามขั้นตอนการตั้งค่า MFA ระหว่างการลงทะเบียนได้ และสามารถตั้งค่า MFA ภายหลังผ่านหน้าการตั้งค่าบัญชีด้วยตนเอง เรียนรู้เพิ่มเติม เกี่ยวกับการสร้างหน้าการตั้งค่าบัญชีผู้ใช้ และเลือกนโยบายสำหรับการแจ้งเตือนการตั้งค่า MFA ต่อไปนี้:
  - ไม่แจ้งให้ผู้ใช้ตั้งค่า MFA: ผู้ใช้จะไม่ถูกแจ้งให้ตั้งค่า MFA ระหว่างการลงชื่อเข้าใช้
  - แจ้งให้ผู้ใช้ตั้งค่า MFA ระหว่างการลงทะเบียน: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ระหว่างการลงทะเบียน และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่ปรากฏอีก
  - แจ้งให้ผู้ใช้ตั้งค่า MFA ในการลงชื่อเข้าใช้หลังจากลงทะเบียน: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ในการลงชื่อเข้าใช้ครั้งที่สองหลังจากลงทะเบียน และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่ปรากฏอีก

การตั้งค่า MFA ระดับองค์กร

สำหรับผลิตภัณฑ์ที่มีสถาปัตยกรรมแบบหลายผู้เช่า (multi-tenant) และรองรับ องค์กร (Organizations) โดยส่วนใหญ่คุณไม่จำเป็นต้องบังคับใช้ MFA กับผู้ใช้ทุกคน แต่สามารถเปิดใช้งาน MFA เป็นรายองค์กร เพื่อปรับแต่งตามความต้องการของลูกค้าแต่ละรายได้ ดูวิธีเริ่มต้นที่ การบังคับใช้ MFA สำหรับสมาชิกองค์กร

กระบวนการใช้งาน MFA ของผู้ใช้

กระบวนการตั้งค่า MFA

เมื่อเปิดใช้งาน MFA แล้ว ผู้ใช้จะถูกแจ้งให้ตั้งค่า MFA ระหว่างขั้นตอนการลงชื่อเข้าใช้และลงทะเบียน ผู้ใช้สามารถเลือกข้ามขั้นตอนนี้ได้ เฉพาะเมื่อเปิดใช้นโยบาย “User-controlled MFA” เท่านั้น

เข้าสู่หน้าลงชื่อเข้าใช้หรือหน้าลงทะเบียน: ผู้ใช้เข้าสู่หน้าลงชื่อเข้าใช้หรือหน้าลงทะเบียน
ดำเนินการลงชื่อเข้าใช้หรือสมัครสมาชิกให้เสร็จสิ้น: ผู้ใช้ดำเนินการยืนยันตัวตนในขั้นตอนการลงชื่อเข้าใช้หรือสมัครสมาชิก
ตั้งค่าปัจจัยหลักของ MFA: ผู้ใช้จะถูกแจ้งให้ตั้งค่าปัจจัยหลักของ MFA (เช่น Authenticator app OTP หรือ WebAuthn) หากเปิดใช้งานปัจจัยหลักหลายรายการ ผู้ใช้สามารถเลือกตัวเลือกที่ต้องการได้ หากเปิดใช้นโยบาย “User-controlled MFA” ผู้ใช้สามารถข้ามขั้นตอนนี้ได้โดยกดปุ่ม "ข้าม"
ตั้งค่าปัจจัยสำรองของ MFA: หากเปิดใช้งาน รหัสสำรอง (Backup codes) ผู้ใช้จะถูกแจ้งให้ตั้งค่ารหัสสำรองหลังจากตั้งค่าปัจจัยหลักสำเร็จ ระบบจะแสดงรหัสสำรองที่สร้างอัตโนมัติให้ผู้ใช้ดาวน์โหลดและเก็บรักษาอย่างปลอดภัย ผู้ใช้ต้องยืนยันรหัสสำรองด้วยตนเองเพื่อให้กระบวนการตั้งค่า MFA เสร็จสมบูรณ์

กระบวนการยืนยัน MFA

ผู้ใช้ที่ตั้งค่า MFA แล้วจะถูกแจ้งให้ยืนยันตัวตนด้วยปัจจัย MFA ที่ตั้งค่าไว้ระหว่างการลงชื่อเข้าใช้ ปัจจัยที่ใช้ยืนยันจะขึ้นอยู่กับการตั้งค่า MFA ใน Logto และการตั้งค่าของผู้ใช้

หากผู้ใช้ตั้งค่าเพียงปัจจัยเดียว จะต้องยืนยันปัจจัยนั้นโดยตรง
หากผู้ใช้ตั้งค่าหลายปัจจัยเป็น 2FA จะต้องเลือกหนึ่งปัจจัยเพื่อยืนยัน
หากไม่มีปัจจัยหลักที่เปิดใช้งานใด ๆ ให้ผู้ใช้ และเปิดใช้งานรหัสสำรอง ผู้ใช้สามารถใช้รหัสสำรองแบบใช้ครั้งเดียวเพื่อยืนยันตัวตนได้

การจัดการ MFA

นอกเหนือจากการตั้งค่าเริ่มต้นระหว่างการลงชื่อเข้าใช้ / ลงทะเบียน ผู้ใช้สามารถจัดการการตั้งค่า MFA ได้ด้วยตนเองผ่านศูนย์บัญชี (account center) เพื่อความยืดหยุ่นในการผูกหรือยกเลิกผูกปัจจัย MFA ตามความต้องการ

การสร้างศูนย์บัญชี

คุณสามารถสร้างศูนย์บัญชีที่ครบถ้วนโดยใช้ Account API ของ Logto ซึ่งช่วยให้ผู้ใช้สามารถ:

ผูกปัจจัย MFA ใหม่: เพิ่มแอปยืนยันตัวตน, passkeys หรือสร้างรหัสสำรองใหม่
ยกเลิกผูกปัจจัย MFA ที่มีอยู่: ลบวิธี MFA ที่ไม่ต้องการใช้งานอีกต่อไป
ดูสถานะ MFA ปัจจุบัน: ตรวจสอบว่ามีการตั้งค่าปัจจัย MFA ใดบ้าง

สำหรับแอปพลิเคชันที่ไม่บังคับใช้ MFA ระหว่างการลงทะเบียนครั้งแรก คุณสามารถเพิ่มการแจ้งเตือนอัจฉริยะเพื่อกระตุ้นให้ผู้ใช้ตั้งค่า MFA ได้ เช่น

แจ้งเตือนตามเงื่อนไข: แนะนำให้ตั้งค่า MFA ตามพฤติกรรมผู้ใช้หรือมูลค่าบัญชี
แดชบอร์ดความปลอดภัย: แสดงคะแนนความปลอดภัยที่เพิ่มขึ้นเมื่อเปิดใช้งาน MFA
การแนะนำทีละขั้น: นำเสนอการตั้งค่า MFA เป็นส่วนหนึ่งของกระบวนการเพิ่มความปลอดภัยอย่างต่อเนื่อง

เรียนรู้เพิ่มเติมเกี่ยวกับการใช้งานรูปแบบเหล่านี้ด้วย Account API

ตั้งค่าการยืนยันตัวตนหลายปัจจัย (MFA) ใน Logto​

การตั้งค่า MFA ระดับโกลบอล​

การตั้งค่า MFA ระดับองค์กร​

กระบวนการใช้งาน MFA ของผู้ใช้​

กระบวนการตั้งค่า MFA​

กระบวนการยืนยัน MFA​

การจัดการ MFA​

การสร้างศูนย์บัญชี​

การแจ้งเตือนให้ตั้งค่า MFA หลังเข้าสู่ระบบ​