跳至主要內容

設定多重要素驗證 (MFA)

在 Logto 中設定多重要素驗證 (MFA)

按照以下步驟在使用者的 Logto 登入流程中啟用多重要素驗證 (MFA):

  1. 前往:Console > Multi-factor auth
  2. 為你的使用者啟用支援的驗證因素。
    1. 主要因素:
      • Authenticator App OTP:最常見且廣泛接受的方法。使用由驗證器應用程式(如 Google Authenticator 或 Authy)生成的基於時間的一次性密碼 (TOTP)。
      • Passkeys (WebAuthn):適合支援設備生物識別或安全金鑰等網頁產品的高安全性選項,確保強大的保護。
    2. 備用因素:
      • 備用代碼 (Backup codes):當使用者無法驗證任何上述主要因素時,這作為備用選項。啟用此選項可減少使用者成功存取的阻力。
  3. 選擇是否啟用 Require MFA
    • 啟用:使用者在登入過程中將被要求設定 MFA,且無法跳過。如果使用者未能設定 MFA 或刪除其 MFA 設定,他們將被鎖定帳戶,直到再次設定 MFA。
    • 停用:使用者可以在註冊流程中跳過 MFA 設定過程。他們可以稍後透過自助帳戶設定頁面設定 MFA。了解更多關於實作使用者帳戶設定頁面的資訊,請參閱 這裡。並繼續選擇 MFA 設定提示的政策:
      • 不要求使用者設定 MFA:使用者在登入時不會被提示設定 MFA。
      • 在註冊時要求使用者設定 MFA:新使用者在註冊時將被提示設定 MFA,現有使用者將在下次登入時看到提示。使用者可以跳過此步驟,且不會再次出現。
      • 在註冊後的登入時要求使用者設定 MFA:新使用者在註冊後的第二次登入時將被提示設定 MFA,現有使用者將在下次登入時看到提示。使用者可以跳過此步驟,且不會再次出現。
MFA 設定
備註:

對於支援 組織 (Organizations) 的多租戶架構產品,在大多數情況下,你不需要要求所有使用者啟用 MFA。相反,可以根據每個客戶的需求,按組織啟用 MFA。要開始,請參閱 要求組織成員啟用 MFA

多重要素驗證 (MFA) 使用者流程

多重要素驗證 (MFA) 設定流程

一旦啟用 MFA,使用者將在登入和註冊過程中被提示設定 MFA。只有在啟用了「使用者控制的 MFA」政策時,使用者才能選擇跳過此設定過程。

  1. 訪問登入或註冊頁面:使用者導航至登入或註冊頁面。
  2. 完成登入或註冊:使用者在登入或註冊流程中完成身分驗證過程。
  3. 設定 MFA 主要因素:使用者被提示設定其主要 MFA 因素(Authenticator app OTP 或 WebAuthn)。如果啟用了多個主要因素,他們可以選擇偏好的選項。如果啟用了「使用者控制的 MFA」政策,他們也可以選擇「跳過」按鈕來跳過此步驟。
  4. 設定 MFA 備用因素:如果啟用了 備用代碼 (Backup codes),使用者在成功配置其主要驗證因素後,將被提示設定備用代碼。系統會自動生成備用代碼並顯示給使用者,他們可以下載並安全存儲。使用者必須手動確認備用代碼以完成 MFA 設定過程。
MFA 設定流程

多重要素驗證 (MFA) 驗證流程

已設定 MFA 的使用者在登入時將被提示使用其配置的 MFA 因素驗證身分。驗證因素將取決於 Logto 中的 MFA 配置和使用者設定。

  • 如果使用者僅設定了一個因素,他們將直接驗證該因素。
  • 如果使用者設定了多個因素作為 2FA,他們需要選擇一個進行驗證。
  • 如果所有啟用的主要因素對使用者不可用,且啟用了備用代碼,他們可以使用一次性備用代碼驗證其身分。
MFA 驗證流程