設定多重要素驗證 (MFA)

在 Logto 中設定多重要素驗證 (MFA)

按照以下步驟在使用者的 Logto 登入流程中啟用多重要素驗證 (MFA)：

1. 前往：Console > Multi-factor auth。
2. 為你的使用者啟用支援的驗證因素。
   1. 主要因素：
      • Authenticator App OTP：最常見且廣泛接受的方法。使用由驗證器應用程式（如 Google Authenticator 或 Authy）生成的基於時間的一次性密碼 (TOTP)。
      • Passkeys (WebAuthn)：適合支援設備生物識別或安全金鑰等網頁產品的高安全性選項，確保強大的保護。
   2. 備用因素：
      • 備用代碼 (Backup codes)：當使用者無法驗證任何上述主要因素時，這作為備用選項。啟用此選項可減少使用者成功存取的阻力。
3. 選擇是否啟用 Require MFA：
   • 啟用：使用者在登入過程中將被要求設定 MFA，且無法跳過。如果使用者未能設定 MFA 或刪除其 MFA 設定，他們將被鎖定帳戶，直到再次設定 MFA。
   • 停用：使用者可以在註冊流程中跳過 MFA 設定過程。他們可以稍後透過自助帳戶設定頁面設定 MFA。了解更多關於實作使用者帳戶設定頁面的資訊，請參閱 這裡。並繼續選擇 MFA 設定提示的政策：
     • 不要求使用者設定 MFA：使用者在登入時不會被提示設定 MFA。
     • 在註冊時要求使用者設定 MFA：新使用者在註冊時將被提示設定 MFA，現有使用者將在下次登入時看到提示。使用者可以跳過此步驟，且不會再次出現。
     • 在註冊後的登入時要求使用者設定 MFA：新使用者在註冊後的第二次登入時將被提示設定 MFA，現有使用者將在下次登入時看到提示。使用者可以跳過此步驟，且不會再次出現。

備註:

對於支援 組織 (Organizations) 的多租戶架構產品，在大多數情況下，你不需要要求所有使用者啟用 MFA。相反，可以根據每個客戶的需求，按組織啟用 MFA。要開始，請參閱 要求組織成員啟用 MFA。

多重要素驗證 (MFA) 使用者流程

多重要素驗證 (MFA) 設定流程

一旦啟用 MFA，使用者將在登入和註冊過程中被提示設定 MFA。只有在啟用了「使用者控制的 MFA」政策時，使用者才能選擇跳過此設定過程。

1. 訪問登入或註冊頁面：使用者導航至登入或註冊頁面。
2. 完成登入或註冊：使用者在登入或註冊流程中完成身分驗證過程。
3. 設定 MFA 主要因素：使用者被提示設定其主要 MFA 因素（Authenticator app OTP 或 WebAuthn）。如果啟用了多個主要因素，他們可以選擇偏好的選項。如果啟用了「使用者控制的 MFA」政策，他們也可以選擇「跳過」按鈕來跳過此步驟。
4. 設定 MFA 備用因素：如果啟用了 備用代碼 (Backup codes)，使用者在成功配置其主要驗證因素後，將被提示設定備用代碼。系統會自動生成備用代碼並顯示給使用者，他們可以下載並安全存儲。使用者必須手動確認備用代碼以完成 MFA 設定過程。

多重要素驗證 (MFA) 驗證流程

已設定 MFA 的使用者在登入時將被提示使用其配置的 MFA 因素驗證身分。驗證因素將取決於 Logto 中的 MFA 配置和使用者設定。

• 如果使用者僅設定了一個因素，他們將直接驗證該因素。
• 如果使用者設定了多個因素作為 2FA，他們需要選擇一個進行驗證。
• 如果所有啟用的主要因素對使用者不可用，且啟用了備用代碼，他們可以使用一次性備用代碼驗證其身分。