配置 MFA
在 Logto 中配置 MFA 设置
按照以下步骤在用户的 Logto 登录流程中启用 MFA:
- 导航到:Console > Multi-factor auth。
- 为你的用户启用支持的验证因素。
- 主因素:
- Authenticator App OTP:最常见且广泛接受的方法。使用由身份验证应用程序(如 Google Authenticator 或 Authy)生成的基于时间的一次性密码 (TOTP)。
- Passkeys (WebAuthn):适用于支持设备生物识别或安全密钥等的网络产品的高安全性选项,确保强大的保护。
- 备份因素:
- Backup codes:当用户无法验证上述任何主因素时,这作为备份选项。启用此选项可以减少用户成功访问的摩擦。
- 主因素:
- 为用户选择 MFA 策略设置:
- 用户控制的 MFA:用户可以在注册流程中跳过 MFA 设置过程。他们可以选择稍后通过你的自助账户设置页面或 Logto 托管账户设置页面(即将推出)来设置 MFA。 了解更多 关于实现用户账户设置页面的信息。
- 管理员强制的 MFA:你可以为所有用户强制执行 MFA。用户将在登录过程中被提示设置 MFA,无法跳过。如果用户未能设置 MFA 或删除其 MFA 设置,他们将被锁定在其账户之外,直到他们再次设置 MFA。
MFA 用户流程
MFA 设置流程
一旦启用 MFA,用户将在登录和注册过程中被提示设置 MFA。只有在启用“用户控制的 MFA”策略时,用户才能选择跳过此设置过程。
- 访问登录或注册页面:用户导航到登录或注册页面。
- 完成登录或注册:用户在登录或注册流程中完成身份验证过程。
- 设置 MFA 主因素:用户被提示设置其主 MFA 因素(Authenticator app OTP 或 WebAuthn)。如果启用了多个主因素,他们可以选择自己喜欢的选项。如果启用了“用户控制的 MFA”策略,他们也可以通过选择“跳过”按钮来跳过此步骤。
- 设置 MFA 备份因素:如果启用了 Backup codes,用户将在成功配置其主认证因素后被提示设置备份代码。自动生成的备份代码将显示给用户,他们可以下载并安全存储。用户必须手动确认备份代码以完成 MFA 设置过程。
MFA 验证流程
已设置 MFA 的用户将在登录过程中被提示使用其配置的 MFA 因素验证身份。验证因素将取决于 Logto 中的 MFA 配置和用户设置。
- 如果用户只设置了一个因素,他们将直接验证该因素。
- 如果用户设置了多个因素作为 2FA,他们需要选择一个进行验证。
- 如果所有启用的主因素对用户不可用,并且启用了备份代码,他们可以使用一次性备份代码来验证身份。