管理使用者
透過 Logto Console 管理
瀏覽與搜尋使用者
要在 Logto Console 存取使用者管理功能,請前往 Console > 使用者管理。進入後,你會看到所有使用者的表格檢視。
該表格包含三個欄位:
- 使用者:顯示使用者資訊,如頭像、全名、使用者名稱、電話號碼與電子郵件
- 來自應用程式:顯示該使用者最初註冊時所用的應用程式名稱
- 最近登入:顯示使用者最近一次登入的時間戳記
支援對 name、id、username、primary-phone、primary-email 進行關鍵字搜尋。
新增使用者
透過 Console,開發者可以為終端使用者建立新帳號。只需點擊畫面右上角的「新增使用者」按鈕即可。
在 Logto Console 或透過 Management API 建立使用者時(非終端使用者自行註冊),你必須至少提供一個識別資訊:primary email、primary phone 或 username。name 欄位為選填。
使用者建立後,Logto 會自動產生一組隨機密碼。初始密碼僅會顯示一次,但你可以之後重設密碼。若想設定特定密碼,請於建立後使用 Management API patch /api/users/{userId}/password 進行更新。
你可以一鍵複製輸入的識別資訊(電子郵件 / 電話號碼 / 使用者名稱)與初始密碼,方便將這些憑證分享給新使用者,讓他們能夠登入並開始使用。
若你想實作僅限邀請註冊,建議使用邀請使用者並發送魔術連結。這樣僅白名單中的使用者可自行註冊並設定密碼。
檢視與更新使用者資料
要檢視使用者詳細資料,只需點擊使用者表格中的對應列,即可進入「使用者詳情」頁面,查看該使用者的個人資料,包括:
- 驗證 (Authentication) 相關資料:
- 電子郵件地址(primary_email):可編輯
- 電話號碼(primary_phone):可編輯
- 使用者名稱(username):可編輯
- 密碼(has_password):可重新產生隨機密碼。詳見「重設使用者密碼」。
- 多重要素驗證 (MFA, Multi-factor authentication)(mfa_verification_factor):檢視該使用者已設置的所有驗證因子(如通行密鑰、驗證器 App、備用代碼),可於 Console 移除因子。
- 通行密鑰 (Passkeys):當租戶啟用通行密鑰登入時,你也可在使用者詳情頁檢視並移除該使用者的登入通行密鑰。這些通行密鑰與 MFA 採用相同的 WebAuthn 憑證模型。
- 個人存取權杖 (Personal access token):建立、檢視、重新命名與刪除 personal access tokens。
- 連接:
- 社交連接 (Social connections)(identities):
- 檢視使用者已綁定的社交帳號,包括社交 ID 及從社交提供者同步的個人資料(例如使用 Facebook 登入會顯示「Facebook」條目)。
- 可移除現有社交身分,但無法代替使用者新增新的社交帳號。
- 若社交連接器啟用 權杖儲存,可在連接詳情頁檢視與管理存取權杖與重新整理權杖。
- 企業級單一登入 (Enterprise SSO) 連接(sso_identities):
- 檢視使用者已綁定的企業身分,包括企業 ID 及從企業身分提供者同步的個人資料。
- 無法於 Console 新增或移除企業 SSO 身分。
- 若 OIDC 型企業連接器啟用 權杖儲存,可在連接詳情頁檢視與刪除權杖。
- 社交連接 (Social connections)(identities):
- 使用者個人資料:姓名、頭像 URL、自訂資料,以及其他未列出的 OpenID Connect 標準宣告。這些欄位皆可編輯。
- 工作階段 (Sessions):檢視使用者的所有啟用中的工作階段,包括裝置資訊、sessionId 及地理位置(如適用)。可進一步檢視工作階段詳情並撤銷。
在移除社交連接前,請務必確認該使用者有其他登入方式,例如其他社交連接、電話號碼、電子郵件或使用者名稱加密碼。否則移除後,該使用者將無法再次存取其帳號。
檢視使用者活動紀錄
要檢視使用者近期活動,請至「使用者詳情」頁的「使用者日誌」子分頁。這裡會顯示一個表格,列出使用者近期的操作、操作結果、相關應用程式及操作時間。
點擊表格列可檢視該活動的更多細節,例如 IP 位址、user agent、原始資料等。
停用使用者
在「使用者詳情」頁,點擊「三點」->「停用使用者」按鈕。
使用者被停用後,將無法登入你的應用程式,且現有存取權杖過期後無法再取得新的存取權杖。此外,該使用者發出的任何 API 請求都會失敗。
若要重新啟用該使用者,只需點擊「三點」->「重新啟用使用者」按鈕。
刪除使用者
在「使用者詳情」頁,點擊「三點」->「刪除」按鈕。刪除使用者後無法復原。
重設使用者密碼
在「使用者詳情」頁,點擊「三點」->「重設密碼」按鈕,Logto 會自動重新產生一組隨機密碼。
重設密碼後,請複製並傳送給終端使用者。關閉「重設密碼」視窗後將無法再次檢視密碼,若忘記保存可再次重設。
你無法在 Logto Console 為使用者設定特定密碼,但可透過 Management API PATCH /api/users/{userId}/password 指定密碼。
管理使用者啟用中的工作階段
在「使用者詳情」頁,點擊特定工作階段的「管理」按鈕進入「工作階段詳情」頁。你可檢視該工作階段的詳細資訊,如裝置、地點與登入時間。若要讓使用者登出該工作階段,只需點擊右上角的「撤銷工作階段」按鈕,該工作階段將立即失效。
- 預設在 Console 撤銷工作階段時,會同時撤銷該工作階段關聯的所有第一方應用程式授權,使用者需重新登入才能恢復存取。所有已發放的不透明存取權杖與重新整理權杖也會立即撤銷。
- 對於具有
offline_access權限範圍的第三方應用程式,撤銷工作階段預設不會撤銷應用程式授權。已發放的重新整理權杖仍可使用,直到授權到期、重新整理權杖到期或明確撤銷為止。
管理使用者授權的第三方應用程式
在「使用者詳情」頁,你可於「授權的第三方應用程式」區塊檢視該使用者的應用程式授權狀態。 此區塊由使用者授權應用程式(授權 grant)管理 API 支援。
每個授權應用程式,Console 會顯示:
- 應用程式名稱
- 應用程式 ID
- 存取建立時間
若需移除存取權,點擊撤銷操作並於彈窗中確認。
撤銷應用程式授權會移除該使用者與該應用程式關聯的所有啟用中的第三方授權,同時立即撤銷所有已發放的不透明存取權杖與重新整理權杖。
密碼合規性檢查
當你在 Logto 更新密碼政策後,現有使用者仍可使用原密碼登入。僅新建立的帳號需遵循更新後的密碼政策。
為加強安全性,你可使用 POST /api/sign-in-exp/default/check-password API 檢查使用者密碼是否符合預設登入體驗下的現行政策。若不符合,可透過自訂流程提示使用者更新密碼,並使用 Account API 完成密碼管理。
管理使用者的角色 (Roles)
在使用者詳情頁的「角色 (Roles)」分頁,你可以輕鬆指派或移除角色,以達到預期的權限控制。詳見 基於角色的存取控制 (RBAC, Role-based access control)。
檢視使用者所屬組織
Logto 支援 組織 (Organizations) 並可管理其成員。你可以輕鬆檢視使用者詳情並查看其所屬組織。
透過 Logto Management API 管理
Management API 是一組提供 Logto 後端服務存取的 API。如前所述,使用者 API 是此服務的關鍵組件,可支援多種情境。
與使用者相關的 RESTful API 掛載於 /api/users,但使用者活動紀錄(user logs)則為 /api/logs?userId=:userId。
你可以在多種情境下透過 Management API 管理使用者,例如 進階使用者搜尋、批次建立帳號、僅限邀請註冊 等。
常見問題
如何限制特定使用者存取某些應用程式?
由於 Logto 的 Omni-sign-in 特性,設計上不支援在驗證 (Authentication) 前限制使用者存取特定應用程式。 不過,你仍可設計應用程式專屬的使用者角色 (Roles) 與權限 (Permissions) 來保護你的 API 資源,並於使用者成功登入後在 API 存取時驗證權限。 詳見授權 (Authorization):基於角色的存取控制 (RBAC, Role-based access control)。