Saltar al contenido principal

Gestionar usuarios

Gestionar a través de Logto Console

Navegar y buscar usuarios

Para acceder a la funcionalidad de gestión de usuarios en Logto Console, navega a Consola > Gestión de usuarios. Una vez allí, verás una vista en tabla de todos los usuarios.

La tabla consta de tres columnas:

  • Usuario: Muestra información sobre el usuario, como su avatar, nombre completo, nombre de usuario, número de teléfono y correo electrónico.
  • Desde la aplicación: Muestra el nombre de la aplicación con la que el usuario se registró inicialmente.
  • Último inicio de sesión: Muestra la marca de tiempo del inicio de sesión más reciente del usuario.

Admite mapeo de palabras clave para name, id, username, primary-phone, primary-email.

Añadir usuarios

Usando la Consola, los desarrolladores pueden crear nuevas cuentas para los usuarios finales. Para hacerlo, haz clic en el botón "Añadir usuario" en la esquina superior derecha de la pantalla.

Al crear un usuario en Logto Console o mediante la Management API (no usuarios auto-registrados a través de la interfaz), debes proporcionar al menos un identificador: correo electrónico principal, teléfono principal o nombre de usuario. El campo name es opcional.

Después de crear el usuario, Logto generará automáticamente una contraseña aleatoria. La contraseña inicial solo aparecerá una vez, pero puedes restablecer la contraseña más adelante. Si deseas establecer una contraseña específica, utiliza la Management API patch /api/users/{userId}/password para actualizarla después de crear el usuario.

Puedes copiar los identificadores introducidos (dirección de correo electrónico / número de teléfono / nombre de usuario) y la contraseña inicial con un solo clic, lo que facilita compartir estas credenciales con el nuevo usuario para que pueda iniciar sesión y comenzar.

tip:

Si deseas implementar un registro solo por invitación, te recomendamos invitar usuarios con un enlace mágico. Esto permite que solo los usuarios en la lista blanca se auto-registren y establezcan su propia contraseña.

Ver y actualizar el perfil del usuario

Para ver los detalles de un usuario, simplemente haz clic en la fila correspondiente en la tabla de usuarios. Esto te llevará a la página de "Detalles del usuario", donde puedes encontrar la información del perfil del usuario, incluyendo:

  • Datos relacionados con la autenticación:
    • Dirección de correo electrónico (primary_email): Editable
    • Número de teléfono (primary_phone): Editable
    • Nombre de usuario (username): Editable
    • Contraseña (has_password): Puedes regenerar una contraseña aleatoria. Aprende más sobre "Restablecer la contraseña del usuario".
    • Autenticación multifactor (MFA) (mfa_verification_factor): Visualiza todos los factores de autenticación (por ejemplo, passkeys, aplicaciones autenticadoras, códigos de respaldo) que este usuario ha configurado. Los factores pueden eliminarse en la Consola.
    • Passkeys: Cuando el inicio de sesión con passkey está habilitado en el tenant, también puedes ver las passkeys de inicio de sesión del usuario en la página de detalles y eliminarlas si es necesario. Estas passkeys están respaldadas por el mismo modelo de credenciales WebAuthn utilizado por MFA.
    • Token de acceso personal: Crear, ver, renombrar y eliminar tokens de acceso personal.
  • Conexión:
    • Conexiones sociales (identities):
      • Visualiza las cuentas sociales vinculadas del usuario, incluidos los IDs sociales y los detalles del perfil sincronizados desde sus proveedores sociales (por ejemplo, aparecerá una entrada "Facebook" si el usuario inició sesión a través de Facebook).
      • Puedes eliminar identidades sociales existentes, pero no puedes vincular nuevas cuentas sociales en nombre del usuario.
      • Para conectores sociales con almacenamiento de tokens habilitado, puedes ver y gestionar tokens de acceso y tokens de actualización en la página de detalles de la conexión.
    • Conexiones SSO empresariales (sso_identities):
      • Visualiza las identidades empresariales vinculadas del usuario, incluidos los IDs empresariales y los detalles del perfil sincronizados desde sus proveedores de identidad empresariales.
      • No puedes añadir ni eliminar identidades SSO empresariales en la Consola.
      • Para conectores empresariales basados en OIDC con almacenamiento de tokens habilitado, puedes ver y eliminar tokens en la página de detalles de la conexión.
  • Datos del perfil del usuario: nombre, URL del avatar, datos personalizados y reclamos estándar adicionales de OpenID Connect que no están incluidos. Todos estos campos de perfil son editables.
  • Sesiones: Visualiza la lista de sesiones activas del usuario, incluyendo información del dispositivo, sessionId y ubicación GEO si corresponde. Visualiza más detalles de una sesión y revócala en la página de detalles de la sesión.
aviso:

Es importante confirmar que el usuario tiene un método alternativo de inicio de sesión antes de eliminar una conexión social, como otra conexión social, número de teléfono, correo electrónico o nombre de usuario con contraseña. Si el usuario no tiene ningún otro método de inicio de sesión, no podrá acceder a su cuenta nuevamente una vez que se elimine la conexión social.

Ver actividades del usuario

Para ver las actividades recientes de un usuario, navega a la subpestaña "Registros de usuario" en la página de detalles del usuario. Aquí encontrarás una tabla que muestra las actividades recientes del usuario, incluyendo la acción realizada, el resultado de la acción, la aplicación relacionada y la hora en que el usuario actuó.

Haz clic en la fila de la tabla para ver más detalles en el registro del usuario, por ejemplo, dirección IP, agente de usuario, datos sin procesar, etc.

Suspender usuario

En la página de detalles del usuario, haz clic en "Tres puntos" -> botón "Suspender usuario".

Una vez que un usuario está suspendido, no podrá iniciar sesión en tu aplicación ni obtener un nuevo token de acceso después de que el actual expire. Además, cualquier solicitud de API realizada por este usuario fallará.

Si deseas reactivar a este usuario, puedes hacerlo haciendo clic en "Tres puntos" -> botón "Reactivar usuario".

Eliminar usuario

En la página de detalles del usuario, haz clic en "Tres puntos" -> botón "Eliminar". Eliminar un usuario no se puede deshacer.

Restablecer la contraseña del usuario

En la página de detalles del usuario, haz clic en "Tres puntos" -> botón "Restablecer contraseña", y luego Logto generará automáticamente una contraseña aleatoria.

Después de restablecer la contraseña, cópiala y envíala al usuario final. Una vez que se cierre el modal de "Restablecer contraseña", ya no podrás ver la contraseña. Si olvidas guardarla, puedes restablecerla nuevamente.

No puedes establecer una contraseña específica para los usuarios en Logto Console, pero puedes usar la Management API PATCH /api/users/{userId}/password para especificar una contraseña.

Gestionar sesiones activas del usuario

En la página de detalles del usuario, navega a la página de "Detalles de la sesión" haciendo clic en el botón "Gestionar" de una sesión específica. Aquí puedes ver información detallada sobre la sesión, como el dispositivo, la ubicación y la hora de inicio de sesión. Si deseas cerrar la sesión del usuario, simplemente haz clic en el botón "Revocar sesión" en la esquina superior derecha, y la sesión se revocará inmediatamente.

  • Por defecto, revocar una sesión en la Consola también revocará todos los permisos de aplicaciones de primera parte asociados con esa sesión, y el usuario deberá iniciar sesión nuevamente para restaurar el acceso. Cualquier token opaco de acceso y token de actualización emitidos previamente para aplicaciones de primera parte también se revocarán inmediatamente.
  • Para aplicaciones de terceros con alcance offline_access, revocar una sesión no revoca el permiso de la aplicación por defecto, cualquier token de actualización emitido previamente aún puede usarse hasta que el permiso expire.

Verificación de cumplimiento de contraseñas

Después de actualizar la política de contraseñas en Logto, los usuarios existentes aún pueden iniciar sesión con sus contraseñas actuales. Solo las cuentas recién creadas deberán seguir la política de contraseñas actualizada.

Para aplicar una seguridad más fuerte, puedes usar el POST /api/sign-in-exp/default/check-password API para comprobar si la contraseña de un usuario cumple con la política actual definida en la experiencia de inicio de sesión predeterminada. Si no la cumple, puedes solicitar al usuario que actualice su contraseña con un flujo personalizado usando la Account API.

Gestionar roles de los usuarios

En la pestaña "Roles" de la página de detalles del usuario, puedes asignar o eliminar roles fácilmente para lograr el resultado deseado. Consulta Control de acceso basado en roles (RBAC) para más detalles.

Ver las organizaciones a las que pertenece el usuario

Logto admite organizaciones y puede gestionar a sus miembros. Puedes ver fácilmente los detalles del usuario y a qué organización pertenece.

Gestionar a través de Logto Management API

La Management API es un conjunto de APIs que proporcionan acceso al servicio backend de Logto. Como se mencionó anteriormente, la API de usuario es un componente crítico de este servicio y puede soportar una amplia gama de escenarios.

Las APIs RESTful relacionadas con usuarios están montadas en /api/users excepto para las actividades del usuario, es decir, los registros de usuario /api/logs?userId=:userId.

Puedes gestionar usuarios a través de la Management API en varios casos de uso. Como búsqueda avanzada de usuarios, creación masiva de cuentas, registro solo por invitación, etc.

Preguntas frecuentes

¿Cómo restringir el acceso a ciertas aplicaciones para usuarios específicos?

Debido a la naturaleza de Omni-sign-in de Logto, no está diseñado para restringir el acceso de usuarios a ciertas aplicaciones antes de la autenticación. Sin embargo, aún puedes diseñar roles de usuario y permisos específicos de la aplicación para proteger tus recursos de API, y validar los permisos en el acceso a la API tras un inicio de sesión exitoso del usuario. Consulta Autorización: Control de acceso basado en roles (RBAC) para más información.