配置多因素认证 (MFA)
在 Logto 中配置多因素认证 (MFA) 设置
Logto 提供灵活的多因素认证 (MFA) 配置选项,以满足不同的安全需求。你可以为所有用户在全局级别配置 MFA,或针对多租户应用按组织 (Organization) 启用。
全局 MFA 配置
按照以下步骤在用户的 Logto 登录流程中启用多因素认证 (MFA):
- 导航至:控制台 > 多因素认证 (MFA)。
- 为你的用户启用支持的验证因子。
- 主因子:
- 认证器应用 OTP:最常见且被广泛接受的方法。使用如 Google Authenticator 或 Authy 等认证器应用生成的基于时间的一次性密码 (TOTP)。
- Passkeys (WebAuthn):适用于支持设备生物识别或安全密钥等的 Web 产品的高安全性选项,确保强大保护。
- 备份因子:
- 备份码:当用户无法验证上述主因子时,作为备选方案。启用此选项可降低用户成功访问的阻力。
- 主因子:
- 选择是否启用 强制 MFA:
- 启用:用户将在登录过程中被强制要求设置 MFA,且无法跳过。如果用户未能设置 MFA 或删除了 MFA 设置,他们将无法访问账户,直到重新设置 MFA。
- 禁用:用户可以在注册流程中跳过 MFA 设置。之后可通过自助账户设置页面设置 MFA。了解更多 关于实现用户账户设置页面。并继续选择 MFA 设置提示的策略:
- 不要求用户设置 MFA:用户在登录时不会被提示设置 MFA。
- 在注册时提示用户设置 MFA:新用户在注册时会被提示设置 MFA,现有用户将在下次登录时看到提示。用户可以跳过此步骤,且不会再次出现。
- 在注册后首次登录时提示用户设置 MFA:新用户将在注册后第二次登录时被提示设置 MFA,现有用户将在下次登录时看到提示。用户可以跳过此步骤,且不会再次出现。
组织 (Organization) 级别 MFA 配置
对于支持 组织 (Organizations) 的多租户架构产品,大多数情况下你无需对所有用户强制要求 MFA。你可以按组织 (Organization) 启用 MFA,根据每个客户的需求定制要求。开始操作请参考 为组织成员强制 MFA。
MFA 用户流程
MFA 设置流程
一旦启用 MFA,用户将在登录和注册过程中被提示设置 MFA。仅当启用了“用户可控 MFA”策略时,用户才可以选择跳过此设置流程。
- 访问登录或注册页面:用户进入登录或注册页面。
- 完成登录或注册:用户在登录或注册流程中完成身份验证过程。
- 设置 MFA 主因子:用户被提示设置主 MFA 因子(认证器应用 OTP 或 WebAuthn)。如果启用了多个主因子,用户可选择自己偏好的方式。如果启用了“用户可控 MFA”策略,用户也可以点击“跳过”按钮跳过此步骤。
- 设置 MFA 备份因子:如果启用了备份码,用户在成功配置主认证因子后会被提示设置备份码。系统会自动生成备份码并展示给用户,用户可下载并安全保存。用户必须手动确认备份码以完成 MFA 设置流程。
MFA 验证流程
已设置 MFA 的用户在登录时会被提示使用已配置的 MFA 因子验证身份。验证因子将根据 Logto 的 MFA 配置和用户设置而定。
- 如果用户只设置了一个因子,将直接验证该因子。
- 如果用户设置了多个因子作为 2FA,则需要选择其中一个进行验证。
- 如果所有启用的主因子用户都无法使用,且启用了备份码,用户可以使用一次性备份码验证身份。
MFA 管理
除了在登录 / 注册时的初始设置外,用户还可以通过自助账户中心管理自己的 MFA 设置。这为用户根据自身需求绑定或解绑 MFA 因子提供了灵活性。
构建账户中心
你可以使用 Logto 的 Account API 构建一个完整的账户中心,允许用户:
- 绑定新的 MFA 因子:添加额外的认证器应用、passkey 或重新生成备份码
- 解绑已有的 MFA 因子:移除不再使用的 MFA 方式
- 查看当前 MFA 状态:查看当前已配置的 MFA 因子
登录后 MFA 设置提示
对于注册时不强制要求 MFA 的应用,你可以实现智能提示以鼓励用户设置 MFA:
- 条件提示:根据用户行为或账户价值展示 MFA 设置建议
- 安全仪表盘:显示安全分数,启用 MFA 后分数提升
- 渐进式引导:将 MFA 设置作为渐进式安全增强流程的一部分呈现
了解更多如何通过 Account API 实现这些模式。