จัดการผู้ใช้
จัดการผ่าน Logto Console
เรียกดูและค้นหาผู้ใช้
เพื่อเข้าถึงฟังก์ชันการจัดการผู้ใช้ใน Logto Console ให้ไปที่ Console > การจัดการผู้ใช้ เมื่อเข้าไปแล้ว คุณจะเห็นตารางแสดงผู้ใช้ทั้งหมด
ตารางประกอบด้วย 3 คอลัมน์:
- ผู้ใช้: แสดงข้อมูลเกี่ยวกับผู้ใช้ เช่น อวาตาร์ ชื่อเต็ม ชื่อผู้ใช้ หมายเลขโทรศัพท์ และอีเมล
- จากแอปพลิเคชัน: แสดงชื่อแอปพลิเคชันที่ผู้ใช้ลงทะเบียนครั้งแรก
- การลงชื่อเข้าใช้ล่าสุด: แสดงเวลาที่ผู้ใช้ลงชื่อเข้าใช้ล่าสุด
รองรับการค้นหาด้วยคีย์เวิร์ดสำหรับ name, id, username, primary-phone, primary-email
เพิ่มผู้ใช้
นักพัฒนาสามารถสร้างบัญชีใหม่ให้ผู้ใช้ปลายทางผ่าน Console ได้ โดยคลิกปุ่ม "เพิ่มผู้ใช้" ที่มุมขวาบนของหน้าจอ
เมื่อสร้างผู้ใช้ใน Logto Console หรือผ่าน Management API (ไม่ใช่การลงทะเบียนด้วยตนเองของผู้ใช้ผ่าน UI) คุณต้องระบุ identifier อย่างน้อยหนึ่งอย่าง ได้แก่ primary email, primary phone หรือ username ฟิลด์ name เป็นตัวเลือก
หลังจากสร้างผู้ใช้แล้ว Logto จะสร้างรหัสผ่านแบบสุ่มให้อัตโนมัติ รหัสผ่านเริ่มต้นนี้จะแสดงเพียงครั้งเดียว แต่คุณสามารถ รีเซ็ตรหัสผ่าน ได้ในภายหลัง หากต้องการตั้งรหัสผ่านเฉพาะ ให้ใช้ Management API patch /api/users/{userId}/password เพื่ออัปเดตรหัสผ่านหลังจากสร้างผู้ใช้แล้ว
คุณสามารถคัดลอก identifier ที่กรอก (ที่อยู่อีเมล / หมายเลขโทรศัพท์ / ชื่อผู้ใช้) และ รหัสผ่านเริ่มต้น ได้ด้วยคลิกเดียว ทำให้ง่ายต่อการส่งข้อมูลเหล่านี้ให้ผู้ใช้ใหม่เพื่อเข้าสู่ระบบและเริ่มต้นใช้งาน
หากต้องการให้ลงทะเบียนแบบเชิญเท่านั้น แนะนำให้ เชิญผู้ใช้ด้วย magic link วิธีนี้จะอนุญาตเฉพาะผู้ใช้ที่อยู่ใน whitelist ให้ลงทะเบียนและตั้งรหัสผ่านเอง
ดูและอัปเดตโปรไฟล์ผู้ใช้
หากต้องการดูรายละเอียดของผู้ใช้ ให้คลิกแถวที่เกี่ยวข้องในตารางผู้ใช้ จะเข้าสู่หน้า "รายละเอียดผู้ใช้" ซึ่งคุณจะพบข้อมูลโปรไฟล์ของผู้ใช้ รวมถึง:
- ข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตน (Authentication):
- ที่อยู่อีเมล (primary_email): แก้ไขได้
- หมายเลขโทรศัพท์ (primary_phone): แก้ไขได้
- ชื่อผู้ใช้ (username): แก้ไขได้
- รหัสผ่าน (has_password): สามารถสร้างรหัสผ่านแบบสุ่มใหม่ได้ ดูเพิ่มเติมที่ "รีเซ็ตรหัสผ่านผู้ใช้"
- การยืนยันตัวตนหลายปัจจัย (Multi-factor authentication; MFA) (mfa_verification_factor): ดูปัจจัยการยืนยันตัวตนทั้งหมด (เช่น passkey, แอป authenticator, รหัสสำรอง) ที่ผู้ใช้ตั้งค่าไว้ สามารถลบปัจจัยเหล่านี้ใน Console ได้
- Passkey: เมื่อ passkey sign-in เปิดใช้งานใน tenant คุณสามารถดู passkey สำหรับการลงชื่อเข้าใช้ของผู้ใช้ในหน้าโปรไฟล์และลบได้หากต้องการ โดย passkey เหล่านี้ใช้โมเดล credential เดียวกับ WebAuthn ที่ใช้ใน MFA
- Personal access token: สร้าง ดู เปลี่ยนชื่อ และลบ personal access tokens
- การเชื่อมต่อ (Connection):
- การเชื่อมต่อโซเชียล (Social connections) (identities):
- ดูบัญชีโซเชียลที่เชื่อมโยงของผู้ใช้ รวมถึง social ID และรายละเอียดโปรไฟล์ที่ซิงก์จากผู้ให้บริการโซเชียล (เช่น จะมีรายการ "Facebook" หากผู้ใช้ลงชื่อเข้าใช้ผ่าน Facebook)
- สามารถลบ social identity ที่มีอยู่ได้ แต่ไม่สามารถเชื่อมโยงบัญชีโซเชียลใหม่แทนผู้ใช้ได้
- สำหรับตัวเชื่อมต่อโซเชียลที่เปิด token storage สามารถดูและจัดการ access token และ refresh token ได้ในหน้ารายละเอียดการเชื่อมต่อ
- การเชื่อมต่อ Enterprise SSO (sso_identities):
- ดู enterprise identity ที่เชื่อมโยงของผู้ใช้ รวมถึง enterprise ID และรายละเอียดโปรไฟล์ที่ซิงก์จากผู้ให้บริการข้อมูลระบุตัวตนขององค์กร
- ไม่สามารถเพิ่มหรือลบ enterprise SSO identity ใน Console ได้
- สำหรับตัวเชื่อมต่อองค์กรแบบ OIDC ที่เปิด token storage สามารถดูและลบโทเค็นได้ในหน้ารายละเอียดการเชื่อมต่อ
- การเชื่อมต่อโซเชียล (Social connections) (identities):
- ข้อมูลโปรไฟล์ผู้ใช้: ชื่อ, URL อวาตาร์, ข้อมูลกำหนดเอง และ OpenID Connect standard claims อื่น ๆ ที่ไม่ได้รวมไว้ ฟิลด์โปรไฟล์เหล่านี้สามารถแก้ไขได้ทั้งหมด
- เซสชัน (Sessions): ดูรายการเซสชันที่ใช้งานของผู้ใช้ รวมถึงข้อมูลอุปกรณ์ sessionId และตำแหน่ง GEO (ถ้ามี) ดูรายละเอียดเพิ่มเติมของเซสชันและเพิกถอนเซสชันในหน้ารายละเอียดเซสชัน
ควรตรวจสอบให้แน่ใจว่าผู้ใช้มีวิธีลงชื่อเข้าใช้อื่นก่อนลบการเชื่อมต่อโซเชียล เช่น การเชื่อมต่อโซเชียลอื่น หมายเลขโทรศัพท์ อีเมล หรือชื่อผู้ใช้พร้อมรหัสผ่าน หากไม่มีวิธีอื่น ผู้ใช้จะไม่สามารถเข้าถึงบัญชีได้อีกหลังจากลบการเชื่อมต่อโซเชียล
ดูกิจกรรมของผู้ใช้
หากต้องการดูประวัติกิจกรรมล่าสุดของผู้ใช้ ให้ไปที่แท็บย่อย "User logs" ในหน้า "รายละเอียดผู้ใช้" ที่นี่คุณจะพบตารางแสดงกิจกรรมล่าสุดของผู้ใช้ รวมถึงการกระทำที่เกิดขึ้น ผลลัพธ์ของการกระทำนั้น แอปที่เกี่ยวข้อง และเวลาที่ผู้ใช้ดำเนินการ
คลิกแถวในตารางเพื่อดูรายละเอียดเพิ่มเติมใน user log เช่น IP address, user agent, raw data ฯลฯ
ระงับผู้ใช้
ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ระงับผู้ใช้"
เมื่อผู้ใช้ถูกระงับ จะไม่สามารถลงชื่อเข้าใช้แอปของคุณและจะไม่สามารถขอโทเค็นการเข้าถึงใหม่หลังจากโทเค็นปัจจุบันหมดอายุได้ นอกจากนี้ คำขอ API ใด ๆ ที่ทำโดยผู้ใช้นี้จะล้มเหลว
หากต้องการเปิดใช้งานผู้ใช้นี้อีกครั้ง ให้คลิก "จุดสามจุด" -> ปุ่ม "เปิดใช้งานผู้ใช้"
ลบผู้ใช้
ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ลบ" การลบผู้ใช้ไม่สามารถย้อนกลับได้
รีเซ็ตรหัสผ่านผู้ใช้
ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "รีเซ็ตรหัสผ่าน" จากนั้น Logto จะสร้างรหัสผ่านแบบสุ่มใหม่ให้อัตโนมัติ
หลังจากรีเซ็ตรหัสผ่านแล้ว ให้คัดลอกและส่งให้ผู้ใช้ปลายทาง เมื่อปิด modal "รีเซ็ตรหัสผ่าน" แล้ว จะไม่สามารถดูรหัสผ่านได้อีก หากลืมบันทึกไว้ สามารถรีเซ็ตใหม่ได้
คุณไม่สามารถตั้งรหัสผ่านเฉพาะสำหรับผู้ใช้ใน Logto Console ได้ แต่สามารถใช้ Management API PATCH /api/users/{userId}/password เพื่อกำหนดรหัสผ่านได้
จัดการเซสชันที่ใช้งานของผู้ใช้
ในหน้า "รายละเอียดผู้ใช้" ไปที่หน้า "รายละเอียดเซสชัน" โดยคลิกปุ่ม "จัดการ" ของเซสชันที่ต้องการ ที่นี่คุณจะเห็นข้อมูลรายละเอียดของเซสชัน เช่น อุปกรณ์ ตำแหน่ง และเวลาลงชื่อเข้าใช้ หากต้องการออกจากระบบผู้ใช้จากเซสชันนี้ ให้คลิกปุ่ม "เพิกถอนเซสชัน" ที่มุมขวาบน เซสชันจะถูกเพิกถอนทันที
- โดยปกติการเพิกถอนเซสชันใน Console จะเพิกถอน grant ของแอป first-party ทั้งหมดที่เกี่ยวข้องกับเซสชันนั้นด้วย และผู้ใช้ต้องลงชื่อเข้าใช้อีกครั้งเพื่อเข้าถึงใหม่ โทเค็นการเข้าถึงทึบ (opaque access token) และโทเค็นรีเฟรช (refresh token) ที่ออกให้กับแอป first-party จะถูกเพิกถอนทันทีเช่นกัน
- สำหรับแอป third-party ที่มีขอบเขต
offline_accessการเพิกถอนเซสชันจะไม่เพิกถอน grant ของแอปโดยปกติ โทเค็นรีเฟรชที่ออกไว้ก่อนหน้านี้ยังสามารถใช้ได้จนกว่าจะหมดอายุ grant, หมดอายุ refresh token หรือมีการเพิกถอนโดยตรง
จัดการแอป third-party ที่ผู้ใช้อนุญาต
ในหน้า "รายละเอียดผู้ใช้" คุณสามารถใช้ส่วน "แอป third-party ที่ได้รับอนุญาต" เพื่อตรวจสอบสถานะการอนุญาตแอปของผู้ใช้ ส่วนนี้เชื่อมโยงกับ API การจัดการแอปที่ผู้ใช้อนุญาต (grant)
สำหรับแต่ละแอปที่ได้รับอนุญาต Console จะแสดง:
- ชื่อแอป
- App ID
- เวลาสร้างการเข้าถึง
หากต้องการลบการเข้าถึง ให้คลิก revoke และยืนยันใน modal
การเพิกถอนการอนุญาตแอปจะลบ grant ของ third-party ทั้งหมดที่เกี่ยวข้องกับแอปนั้นสำหรับผู้ใช้ และจะเพิกถอนโทเค็นการเข้าถึงทึบ (opaque access token) และโทเค็นรีเฟรช (refresh token) ที่ออกให้กับแอปนั้นทันที
ตรวจสอบความสอดคล้องของรหัสผ่าน
หลังจากคุณอัปเดต นโยบายรหัสผ่าน ใน Logto ผู้ใช้ที่มีอยู่ยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเดิมได้ จะมีเพียงบัญชีที่สร้างใหม่เท่านั้นที่ต้องปฏิบัติตามนโยบายรหัสผ่านที่อัปเดต
เพื่อบังคับใช้ความปลอดภัยที่เข้มงวดยิ่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้เริ่มต้นหรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านผ่าน flow กำหนดเองโดยใช้ Account API
จัดการบทบาทของผู้ใช้
ในแท็บ "บทบาท (Roles)" ของหน้าโปรไฟล์ผู้ใช้ คุณสามารถกำหนดหรือลบบทบาทได้อย่างง่ายดาย ดูรายละเอียดที่ การควบคุมการเข้าถึงตามบทบาท (RBAC)
ดูองค์กรที่ผู้ใช้สังกัด
Logto รองรับ องค์กร และสามารถจัดการสมาชิกได้ คุณสามารถดูรายละเอียดผู้ใช้และดูว่าอยู่ในองค์กรใดได้อย่างง่ายดาย
จัดการผ่าน Logto Management API
Management API คือชุด API ที่ให้เข้าถึงบริการ backend ของ Logto ดังที่กล่าวไว้ API ที่เกี่ยวข้องกับผู้ใช้เป็นส่วนสำคัญของบริการนี้และรองรับกรณีการใช้งานที่หลากหลาย
API ที่เกี่ยวข้องกับผู้ใช้แบบ RESTful จะอยู่ที่ /api/users ยกเว้นกิจกรรมของผู้ใช้ เช่น user logs /api/logs?userId=:userId
คุณสามารถจัดการผู้ใช้ผ่าน Management API ได้ในหลายกรณี เช่น การค้นหาผู้ใช้ขั้นสูง, การสร้างบัญชีจำนวนมาก, การลงทะเบียนแบบเชิญเท่านั้น เป็นต้น
คำถามที่พบบ่อย
จะจำกัดการเข้าถึงแอปพลิเคชันบางตัวสำหรับผู้ใช้เฉพาะกลุ่มได้อย่างไร?
เนื่องจากธรรมชาติของ Omni-sign-in ของ Logto จึงไม่ได้ออกแบบมาเพื่อจำกัดการเข้าถึงแอปพลิเคชันบางตัวก่อนการยืนยันตัวตน อย่างไรก็ตาม คุณยังสามารถออกแบบบทบาทและสิทธิ์ของผู้ใช้เฉพาะแอปเพื่อปกป้องทรัพยากร API ของคุณ และตรวจสอบสิทธิ์เมื่อเข้าถึง API หลังจากผู้ใช้ลงชื่อเข้าใช้สำเร็จ ดูรายละเอียดที่ การอนุญาต: การควบคุมการเข้าถึงตามบทบาท (RBAC)