ข้ามไปยังเนื้อหาหลัก

จัดการผู้ใช้

จัดการผ่าน Logto Console

เรียกดูและค้นหาผู้ใช้

เพื่อเข้าถึงฟังก์ชันการจัดการผู้ใช้ใน Logto Console ให้ไปที่ Console > การจัดการผู้ใช้ เมื่อเข้าไปแล้ว คุณจะเห็นตารางแสดงผู้ใช้ทั้งหมด

ตารางประกอบด้วย 3 คอลัมน์:

  • ผู้ใช้: แสดงข้อมูลเกี่ยวกับผู้ใช้ เช่น อวาตาร์ ชื่อเต็ม ชื่อผู้ใช้ หมายเลขโทรศัพท์ และอีเมล
  • จากแอปพลิเคชัน: แสดงชื่อแอปพลิเคชันที่ผู้ใช้ลงทะเบียนครั้งแรก
  • การลงชื่อเข้าใช้ล่าสุด: แสดงเวลาที่ผู้ใช้ลงชื่อเข้าใช้ล่าสุด

รองรับการค้นหาด้วยคีย์เวิร์ดสำหรับ name, id, username, primary-phone, primary-email

เพิ่มผู้ใช้

นักพัฒนาสามารถสร้างบัญชีใหม่ให้ผู้ใช้ปลายทางผ่าน Console ได้ โดยคลิกปุ่ม "เพิ่มผู้ใช้" ที่มุมขวาบนของหน้าจอ

เมื่อสร้างผู้ใช้ใน Logto Console หรือผ่าน Management API (ไม่ใช่การลงทะเบียนด้วยตนเองผ่าน UI) คุณต้องระบุ identifier อย่างน้อยหนึ่งอย่าง: primary email, primary phone หรือ username ฟิลด์ name เป็นตัวเลือก

หลังจากสร้างผู้ใช้แล้ว Logto จะสร้างรหัสผ่านแบบสุ่มให้อัตโนมัติ รหัสผ่านเริ่มต้นจะแสดงเพียงครั้งเดียว แต่คุณสามารถ รีเซ็ตรหัสผ่าน ได้ในภายหลัง หากต้องการตั้งรหัสผ่านเฉพาะ ให้ใช้ Management API patch /api/users/{userId}/password เพื่ออัปเดตหลังจากสร้างผู้ใช้แล้ว

คุณสามารถคัดลอก identifier ที่กรอก (ที่อยู่อีเมล / หมายเลขโทรศัพท์ / ชื่อผู้ใช้) และ รหัสผ่านเริ่มต้น ได้ด้วยคลิกเดียว เพื่อแบ่งปันข้อมูลรับรองนี้กับผู้ใช้ใหม่ให้สามารถลงชื่อเข้าใช้และเริ่มต้นใช้งานได้ทันที

เคล็ดลับ:

หากต้องการให้ลงทะเบียนแบบเชิญเท่านั้น แนะนำให้ เชิญผู้ใช้ด้วย magic link วิธีนี้จะอนุญาตเฉพาะผู้ใช้ที่อยู่ใน whitelist ให้ลงทะเบียนและตั้งรหัสผ่านเองได้

ดูและอัปเดตโปรไฟล์ผู้ใช้

เพื่อดูรายละเอียดของผู้ใช้ ให้คลิกแถวที่ต้องการในตารางผู้ใช้ จะเข้าสู่หน้า "รายละเอียดผู้ใช้" ซึ่งจะแสดงข้อมูลโปรไฟล์ของผู้ใช้ รวมถึง:

  • ข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตน (Authentication):
    • ที่อยู่อีเมล (primary_email): แก้ไขได้
    • หมายเลขโทรศัพท์ (primary_phone): แก้ไขได้
    • ชื่อผู้ใช้ (username): แก้ไขได้
    • รหัสผ่าน (has_password): สามารถสร้างรหัสผ่านแบบสุ่มใหม่ได้ ดูเพิ่มเติมที่ "รีเซ็ตรหัสผ่านผู้ใช้"
    • การยืนยันตัวตนหลายปัจจัย (Multi-factor authentication) (mfa_verification_factor): ดูปัจจัยการยืนยันตัวตนทั้งหมด (เช่น passkey, แอป authenticator, รหัสสำรอง) ที่ผู้ใช้ตั้งค่าไว้ สามารถลบปัจจัยได้ใน Console
    • Personal access token: สร้าง ดู เปลี่ยนชื่อ และลบ personal access tokens
  • การเชื่อมต่อ:
    • การเชื่อมต่อโซเชียล (Social connections) (identities):
      • ดูบัญชีโซเชียลที่เชื่อมโยงของผู้ใช้ รวมถึง social ID และรายละเอียดโปรไฟล์ที่ซิงก์จากผู้ให้บริการโซเชียล (เช่น จะมีรายการ "Facebook" หากผู้ใช้ลงชื่อเข้าใช้ผ่าน Facebook)
      • สามารถลบ social identity ที่มีอยู่ได้ แต่ไม่สามารถเชื่อมโยงบัญชีโซเชียลใหม่แทนผู้ใช้ได้
      • สำหรับตัวเชื่อมต่อโซเชียลที่เปิดใช้งาน token storage สามารถดูและจัดการ access token และ refresh token ได้ในหน้ารายละเอียดการเชื่อมต่อ
    • การเชื่อมต่อ Enterprise SSO (sso_identities):
      • ดู enterprise identity ที่เชื่อมโยงของผู้ใช้ รวมถึง enterprise ID และรายละเอียดโปรไฟล์ที่ซิงก์จากผู้ให้บริการข้อมูลระบุตัวตนขององค์กร
      • ไม่สามารถเพิ่มหรือลบ enterprise SSO identity ใน Console ได้
      • สำหรับตัวเชื่อมต่อองค์กรแบบ OIDC ที่เปิดใช้งาน token storage สามารถดูและลบ token ได้ในหน้ารายละเอียดการเชื่อมต่อ
  • ข้อมูลโปรไฟล์ผู้ใช้: ชื่อ, URL อวาตาร์, ข้อมูลกำหนดเอง และ OpenID Connect standard claims อื่น ๆ ที่ไม่ได้รวมไว้ ฟิลด์โปรไฟล์เหล่านี้สามารถแก้ไขได้ทั้งหมด
คำเตือน:

ควรตรวจสอบให้แน่ใจว่าผู้ใช้มีวิธีลงชื่อเข้าใช้อื่นก่อนลบการเชื่อมต่อโซเชียล เช่น การเชื่อมต่อโซเชียลอื่น หมายเลขโทรศัพท์ อีเมล หรือชื่อผู้ใช้พร้อมรหัสผ่าน หากไม่มีวิธีอื่น ผู้ใช้จะไม่สามารถเข้าถึงบัญชีได้อีกหลังจากลบการเชื่อมต่อโซเชียล

ดูกิจกรรมของผู้ใช้

เพื่อดูประวัติกิจกรรมล่าสุดของผู้ใช้ ให้ไปที่แท็บย่อย "User logs" ในหน้า "รายละเอียดผู้ใช้" จะมีตารางแสดงกิจกรรมล่าสุดของผู้ใช้ เช่น การกระทำที่เกิดขึ้น ผลลัพธ์ของการกระทำนั้น แอปที่เกี่ยวข้อง และเวลาที่ผู้ใช้ดำเนินการ

คลิกแถวในตารางเพื่อดูรายละเอียดเพิ่มเติมใน user log เช่น IP address, user agent, raw data ฯลฯ

ระงับผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ระงับผู้ใช้"

เมื่อผู้ใช้ถูกระงับ จะไม่สามารถลงชื่อเข้าใช้แอปของคุณและจะไม่สามารถรับ access token ใหม่หลังจาก token ปัจจุบันหมดอายุ นอกจากนี้ คำขอ API ใด ๆ ที่ทำโดยผู้ใช้นี้จะล้มเหลว

หากต้องการเปิดใช้งานผู้ใช้นี้อีกครั้ง ให้คลิก "จุดสามจุด" -> ปุ่ม "เปิดใช้งานผู้ใช้"

ลบผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ลบ" การลบผู้ใช้ไม่สามารถย้อนกลับได้

รีเซ็ตรหัสผ่านผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "รีเซ็ตรหัสผ่าน" จากนั้น Logto จะสร้างรหัสผ่านแบบสุ่มใหม่ให้อัตโนมัติ

หลังจากรีเซ็ตรหัสผ่านแล้ว ให้คัดลอกและส่งให้ผู้ใช้ปลายทาง เมื่อปิดหน้าต่าง "รีเซ็ตรหัสผ่าน" แล้ว จะไม่สามารถดูรหัสผ่านได้อีก หากลืมบันทึกไว้ สามารถรีเซ็ตใหม่ได้

คุณไม่สามารถตั้งรหัสผ่านเฉพาะให้ผู้ใช้ใน Logto Console ได้ แต่สามารถใช้ Management API PATCH /api/users/{userId}/password เพื่อระบุรหัสผ่านได้

การตรวจสอบความสอดคล้องของรหัสผ่าน

หลังจากอัปเดต นโยบายรหัสผ่าน ใน Logto ผู้ใช้เดิมยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเดิมได้ เฉพาะบัญชีที่สร้างใหม่เท่านั้นที่ต้องปฏิบัติตามนโยบายรหัสผ่านที่อัปเดต

เพื่อบังคับใช้ความปลอดภัยที่เข้มงวดยิ่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้เริ่มต้นหรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านผ่าน flow ที่กำหนดเองโดยใช้ Account API

จัดการบทบาทของผู้ใช้

ในแท็บ "บทบาท" ของหน้าโปรไฟล์ผู้ใช้ คุณสามารถกำหนดหรือลบบทบาทได้อย่างง่ายดาย ดูรายละเอียดที่ การควบคุมการเข้าถึงตามบทบาท (RBAC)

ดูองค์กรที่ผู้ใช้สังกัด

Logto รองรับ องค์กร และสามารถจัดการสมาชิกได้ คุณสามารถดูรายละเอียดผู้ใช้และดูว่าอยู่ในองค์กรใดได้อย่างง่ายดาย

จัดการผ่าน Logto Management API

Management API คือชุด API ที่ให้เข้าถึงบริการ backend ของ Logto ตามที่กล่าวไว้ก่อนหน้านี้ user API เป็นส่วนสำคัญของบริการนี้และรองรับกรณีการใช้งานที่หลากหลาย

RESTful API ที่เกี่ยวข้องกับผู้ใช้จะอยู่ที่ /api/users ยกเว้นกิจกรรมของผู้ใช้ เช่น user logs /api/logs?userId=:userId

คุณสามารถจัดการผู้ใช้ผ่าน Management API ได้ในหลายกรณี เช่น การค้นหาผู้ใช้ขั้นสูง, สร้างบัญชีจำนวนมาก, ลงทะเบียนแบบเชิญเท่านั้น เป็นต้น

คำถามที่พบบ่อย

จะจำกัดการเข้าถึงแอปพลิเคชันบางตัวสำหรับผู้ใช้เฉพาะกลุ่มได้อย่างไร?

เนื่องจากธรรมชาติของ Omni-sign-in ของ Logto จึงไม่ได้ออกแบบมาเพื่อจำกัดการเข้าถึงแอปพลิเคชันบางตัวก่อนการยืนยันตัวตน อย่างไรก็ตาม คุณยังสามารถออกแบบบทบาทและสิทธิ์ของผู้ใช้เฉพาะแอปเพื่อปกป้องทรัพยากร API ของคุณ และตรวจสอบสิทธิ์ในการเข้าถึง API หลังจากผู้ใช้ลงชื่อเข้าใช้สำเร็จ ดูรายละเอียดที่ การอนุญาต: การควบคุมการเข้าถึงตามบทบาท (RBAC)