Configurar MFA

Configurar ajustes de MFA en Logto

Logto ofrece opciones flexibles de configuración de MFA para satisfacer diferentes requisitos de seguridad. Puedes configurar MFA a nivel global para todos los usuarios o habilitarlo por organización para aplicaciones multi-inquilino.

Configuración global de MFA

Sigue estos pasos para habilitar MFA en el flujo de inicio de sesión de los usuarios de Logto:

Navega a: Consola > Autenticación multifactor.
Habilita los factores de verificación compatibles para tus usuarios.
1. Factores primarios:
  - Llaves de acceso (WebAuthn): Una opción de alta seguridad adecuada para productos web que admiten biometría de dispositivos o llaves de seguridad, etc., asegurando una protección robusta.
  - OTP de aplicación autenticadora: El método más común y ampliamente aceptado. Utiliza una contraseña de un solo uso basada en tiempo (TOTP) generada por una aplicación autenticadora como Google Authenticator o Authy.
  - Verificación por SMS: Un método conveniente que envía códigos de verificación de un solo uso por SMS al número de teléfono registrado del usuario, ideal para quienes prefieren autenticación móvil sin aplicaciones adicionales.
  - Verificación por correo electrónico: Un método ampliamente accesible que entrega códigos de verificación de un solo uso al correo electrónico registrado del usuario, adecuado para usuarios en todas las plataformas y dispositivos.
2. Factores de respaldo:
  - Códigos de respaldo: Sirve como opción de respaldo cuando los usuarios no pueden verificar ninguno de los factores primarios mencionados. Habilitar esta opción reduce la fricción para que los usuarios accedan exitosamente.
Elige la política Requerir MFA en el menú desplegable. Esta política controla cuándo los usuarios deben completar MFA durante el inicio de sesión:
- MFA opcional: Permite que los usuarios decidan si habilitan MFA para la seguridad de su cuenta. Los usuarios pueden omitir la configuración de MFA durante el inicio de sesión y configurarla más tarde desde la página de ajustes de cuenta de autoservicio. Aprende más sobre cómo implementar una página de ajustes de cuenta de usuario.
- MFA adaptativo: Aplica MFA solo cuando un inicio de sesión parece inusual, así los inicios de sesión de bajo riesgo son más fluidos y los sospechosos reciben verificación adicional. Este modo depende de tu configuración actual de MFA (al menos un factor de MFA debe estar habilitado), se aplica a los flujos de inicio de sesión de usuario final y no depende de la huella digital del dispositivo ni de otros datos personales sensibles.
- MFA obligatorio: Requiere que todos los usuarios completen MFA en cada inicio de sesión. Los usuarios que no hayan configurado MFA deben hacerlo antes de continuar.
- Cuando se selecciona MFA opcional o MFA adaptativo, configura la política de aviso de configuración de MFA:
  - No pedir a los usuarios que configuren MFA: No se solicitará a los usuarios configurar MFA durante el inicio de sesión.
  - Pedir a los usuarios que configuren MFA durante el registro: Se solicitará a los nuevos usuarios configurar MFA durante el registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso y no volverá a aparecer.
  - Pedir a los usuarios que configuren MFA en su inicio de sesión después del registro: Se solicitará a los nuevos usuarios configurar MFA en su segundo inicio de sesión tras el registro, y los usuarios existentes verán el aviso en su próximo inicio de sesión. Los usuarios pueden omitir este paso y no volverá a aparecer.

Cuando MFA es opcional y Logto decide mostrar el aviso al usuario, el flujo primero muestra una página de confirmación para habilitar MFA titulada Activar la verificación en 2 pasos. En esta página, los usuarios pueden elegir Activar la verificación en 2 pasos para continuar con la vinculación de MFA, o saltar el aviso y finalizar el flujo de inicio de sesión / registro sin activar MFA.

tip:

Si necesitas volver a mostrar el aviso de configuración de MFA a un usuario que lo omitió, restablece su estado de omisión para que la pantalla de configuración aparezca la próxima vez que inicie sesión. Los administradores pueden usar la Management API (PATCH /api/users/{userId}/logto-configs), y los desarrolladores que construyan flujos de autoservicio pueden llamar a la Account API (PATCH /api/my-account/logto-configs). Referencia de Management API · Referencia de Account API

Configuración de MFA a nivel de organización

Para productos con arquitectura multi-inquilino que admiten Organizaciones, en la mayoría de los casos no necesitas requerir MFA para todos los usuarios. En su lugar, MFA puede habilitarse por organización, permitiéndote adaptar los requisitos según las necesidades de cada cliente. Para comenzar, consulta Requerir MFA para miembros de la organización.

En la sección Autenticación multifactor, establece Aviso de configuración de MFA para usuarios después de que la organización habilite MFA en Pedir a los usuarios que configuren MFA en el próximo inicio de sesión (sin omisión). Los miembros de cualquier organización que requiera MFA serán avisados para completar la configuración de MFA en su próximo inicio de sesión, y no podrán omitir el aviso.

Flujo de usuario de MFA

Flujo de configuración de MFA

Una vez habilitado MFA, es posible que se solicite a los usuarios configurar MFA durante el inicio de sesión y registro. Los usuarios solo pueden omitir este proceso de configuración cuando se selecciona MFA opcional en la política Requerir MFA.

Visitar la página de inicio de sesión o registro: El usuario navega a la página de inicio de sesión o registro.
Completar el inicio de sesión o registro: El usuario completa el proceso de verificación de identidad dentro del flujo de inicio de sesión o registro.
- Si MFA es opcional y tu política de aviso está habilitada, Logto puede mostrar primero la página Activar la verificación en 2 pasos antes de iniciar la vinculación de cualquier factor de MFA.
- Los usuarios pueden omitir esta página cuando MFA es opcional, o hacer clic en Activar la verificación en 2 pasos para continuar.
Configurar el factor primario de MFA: Se solicita al usuario configurar su factor primario de MFA (ya sea llave de acceso, OTP de aplicación autenticadora, código SMS o código de correo electrónico).
- Si hay varios factores primarios habilitados, pueden elegir la opción que prefieran.
- Si el factor primario es el mismo que el identificador de registro (por ejemplo, SMS o correo electrónico), se verificará previamente, permitiendo a los usuarios omitir el paso de verificación y pasar directamente al siguiente paso (por ejemplo, "Agregar otro método de verificación en 2 pasos" o "Guarda tus factores de respaldo").
- Si se selecciona MFA opcional en la política Requerir MFA, pueden omitir este paso seleccionando el botón "Omitir".
Configurar el factor de respaldo de MFA: Si los Códigos de respaldo están habilitados, se solicitará al usuario guardar los códigos de respaldo después de configurar correctamente su factor de autenticación primario. Se mostrarán códigos de respaldo generados automáticamente, que el usuario puede descargar y almacenar de forma segura. El usuario debe confirmar manualmente los códigos de respaldo para completar el proceso de configuración de MFA.

Flujo de verificación de MFA

A los usuarios que hayan configurado MFA se les solicitará verificar su identidad utilizando los factores de MFA configurados durante el inicio de sesión. El factor de verificación dependerá de la configuración de MFA en Logto y de los ajustes del usuario.

Si el usuario inicia sesión con inicio de sesión con llave de acceso, Logto omite el paso de verificación de MFA por separado. Esto se debe a que la llave de acceso utilizada para iniciar sesión es en sí misma un factor de MFA WebAuthn.

Si un usuario solo ha configurado un factor, lo verificará directamente.
Si un usuario ha configurado varios factores para 2FA, el sistema presentará opciones de verificación según las siguientes reglas de prioridad:
- Prioridad de llave de acceso: Si el usuario tiene una llave de acceso configurada, se presentará como método de verificación predeterminado.
- Preferencia de último uso: Si no hay llave de acceso disponible, el sistema priorizará el método de verificación que el usuario utilizó exitosamente por última vez.
- Lista de selección: Si ninguna de las prioridades anteriores aplica, la página de verificación en 2 pasos mostrará todos los métodos de verificación vinculados disponibles para que el usuario elija.
- Los usuarios pueden hacer clic en "Probar otro método de verificación" para cambiar entre diferentes opciones de verificación en cualquier momento.
Si todos los factores primarios habilitados no están disponibles para el usuario y el código de respaldo está habilitado, pueden usar el código de respaldo de un solo uso para verificar su identidad.

Gestión de MFA

Más allá de la configuración inicial durante el inicio de sesión / registro, los usuarios pueden gestionar sus ajustes de MFA a través de un centro de cuentas de autoservicio. Esto proporciona flexibilidad para que los usuarios vinculen o desvinculen factores de MFA según sus necesidades.

Construir un centro de cuentas

Puedes construir un centro de cuentas completo utilizando la Account API de Logto, que permite a los usuarios:

Vincular nuevos factores de MFA: Agregar aplicaciones autenticadoras adicionales, llaves de acceso o regenerar códigos de respaldo
Desvincular factores de MFA existentes: Eliminar métodos de MFA que ya no deseen usar
Ver el estado actual de MFA: Ver qué factores de MFA están configurados actualmente

Para aplicaciones que no requieren MFA durante el registro inicial, puedes implementar avisos inteligentes para fomentar la configuración de MFA:

Avisos condicionales: Mostrar recomendaciones de configuración de MFA según el comportamiento del usuario o el valor de la cuenta
Paneles de seguridad: Mostrar puntuaciones de seguridad que mejoran cuando se habilita MFA
Incorporación gradual: Presentar la configuración de MFA como parte de un flujo progresivo de mejora de seguridad

Aprende más sobre cómo implementar estos patrones con la Account API.

Gestionar el MFA de los usuarios en la Consola

En la Consola > Gestión de usuarios, los administradores pueden gestionar eficazmente los ajustes de MFA de los usuarios:

Ver el estado de MFA del usuario: Comprobar qué factores de MFA están habilitados para cada usuario.
Eliminar el MFA del usuario: Eliminar todos los factores de MFA de un usuario, obligándolo a configurar MFA nuevamente.

Preguntas frecuentes

¿Qué sucede cuando los administradores eliminan los factores de MFA existentes de un usuario?

Cuando los administradores eliminan todos los factores primarios de MFA de un usuario (llave de acceso, OTP de aplicación autenticadora, SMS o correo electrónico), ocurrirán los siguientes escenarios durante el próximo inicio de sesión del usuario:

Escenario 1: No quedan factores de MFA

Si no existen factores de MFA (incluyendo que no haya códigos de respaldo) y la política de MFA requiere MFA, se permitirá al usuario iniciar sesión sin verificación de MFA y se le solicitará inmediatamente configurar MFA nuevamente.

Escenario 2: Aún existen códigos de respaldo

Si aún hay códigos de respaldo disponibles, el usuario debe primero verificar usando un código de respaldo durante el inicio de sesión.
Tras la verificación exitosa del código de respaldo, se solicitará al usuario configurar un nuevo factor primario de MFA.
Si el usuario puede omitir esta configuración depende de tu política de MFA configurada.
Este enfoque evita que los usuarios queden bloqueados fuera de sus cuentas cuando no hay factores primarios disponibles.

Configurar ajustes de MFA en Logto​

Configuración global de MFA​

Configuración de MFA a nivel de organización​

Flujo de usuario de MFA​

Flujo de configuración de MFA​

Flujo de verificación de MFA​

Gestión de MFA​

Construir un centro de cuentas​

Avisos de configuración de MFA después del inicio de sesión​

Gestionar el MFA de los usuarios en la Consola​

Preguntas frecuentes​

¿Qué sucede cuando los administradores eliminan los factores de MFA existentes de un usuario?​