配置多因素认证 (MFA)
在 Logto 中配置 MFA 设置
按照以下步骤在用户的 Logto 登录流程中启用 MFA:
- 导航到:控制台 > 多因素认证。
- 为你的用户启用支持的验证因素。
- 主因素:
- 认证器应用 OTP:最常见且广泛接受的方法。使用由认证器应用(如 Google Authenticator 或 Authy)生成的基于时间的一次性密码 (TOTP)。
- Passkeys (WebAuthn):适用于支持设备生物识别或安全密钥等的网络产品的高安全性选项,确保强大的保护。
- 备份因素:
- 备份代码:当用户无法验证上述任何主因素时,这作为备份选项。启用此选项可以减少用户成功访问的摩擦。
- 主因素:
- 选择是否要启用 要求 MFA:
- 启用:用户将在登录过程中被提示设置 MFA,无法跳过。如果用户未能设置 MFA 或删除了他们的 MFA 设置,他们将被锁定在他们的账户之外,直到他们再次设置 MFA。
- 禁用:用户可以在注册流程中跳过 MFA 设置过程。他们可以稍后通过你的自助账户设置页面设置 MFA。了解更多关于实现用户账户设置页面的信息。并继续选择 MFA 设置提示的策略:
- 不要求用户设置 MFA:用户在登录时不会被提示设置 MFA。
- 在注册时要求用户设置 MFA:新用户将在注册时被提示设置 MFA,现有用户将在下次登录时看到提示。用户可以跳过此步骤,并且不会再次出现。
- 在注册后的登录时要求用户设置 MFA:新用户将在注册后的第二次登录时被提示设置 MFA,现有用户将在下次登录时看到提示。用户可以跳过此步骤,并且不会再次出现。
备注:
对于支持 组织 (Organizations) 的多租户架构的产品,在大多数情况下,你不需要要求所有用户使用 MFA。相反,可以在每个组织的基础上启用 MFA,允许你根据每个客户的需求量身定制要求。要开始,请参考要求组织成员使用 MFA。
MFA 用户流程
MFA 设置流程
一旦启用 MFA,用户将在登录和注册过程中被提示设置 MFA。只有在启用“用户控制的 MFA”策略时,用户才能选择跳过此设置过程。
- 访问登录或注册页面:用户导航到登录或注册页面。
- 完成登录或注册:用户在登录或注册流程中完成身份验证过程。
- 设置 MFA 主因素:用户被提示设置他们的主 MFA 因素(认证器应用 OTP 或 WebAuthn)。如果启用了多个主因素,他们可以选择他们的首选选项。如果启用了“用户控制的 MFA”策略,他们也可以通过选择“跳过”按钮来跳过此步骤。
- 设置 MFA 备份因素:如果启用了备份代码,用户将在成功配置其主认证因素后被提示设置备份代码。自动生成的备份代码将显示给用户,他们可以下载并安全存储。用户必须手动确认备份代码以完成 MFA 设置过程。
MFA 验证流程
已设置 MFA 的用户将在登录时被提示使用其配置的 MFA 因素验证身份。验证因素将取决于 Logto 中的 MFA 配置和用户设置。
- 如果用户只设置了一个因素,他们将直接验证它。
- 如果用户设置了多个因素作为 2FA,他们需要选择一个进行验证。
- 如果所有启用的主因素对用户都不可用,并且启用了备份代码,他们可以使用一次性备份代码来验证身份。
