ตั้งค่า MFA

ตั้งค่าการยืนยันตัวตนหลายปัจจัย (MFA) ใน Logto

Logto มีตัวเลือกการตั้งค่า MFA ที่ยืดหยุ่นเพื่อตอบโจทย์ความต้องการด้านความปลอดภัยที่แตกต่างกัน คุณสามารถตั้งค่า MFA ในระดับโกลบอลสำหรับผู้ใช้ทุกคน หรือเปิดใช้งานเป็นรายองค์กรสำหรับแอปพลิเคชันแบบหลายผู้เช่า (multi-tenant)

การตั้งค่า MFA ระดับโกลบอล

ทำตามขั้นตอนเหล่านี้เพื่อเปิดใช้งาน MFA ในขั้นตอนลงชื่อเข้าใช้ของผู้ใช้ Logto:

ไปที่: Console > Multi-factor auth
เปิดใช้งานปัจจัยการยืนยันตัวตนที่รองรับสำหรับผู้ใช้ของคุณ
1. ปัจจัยหลัก:
  - Passkeys (WebAuthn): ตัวเลือกความปลอดภัยสูง เหมาะสำหรับผลิตภัณฑ์เว็บที่รองรับไบโอเมตริกซ์ของอุปกรณ์หรือกุญแจความปลอดภัย ฯลฯ เพื่อการปกป้องที่แข็งแกร่ง
  - Authenticator App OTP: วิธีที่พบได้บ่อยและได้รับการยอมรับอย่างกว้างขวาง ใช้รหัสผ่านแบบใช้ครั้งเดียวตามเวลา (TOTP) ที่สร้างโดยแอปยืนยันตัวตน เช่น Google Authenticator หรือ Authy
  - SMS verification: วิธีที่สะดวก ส่งรหัสยืนยันแบบใช้ครั้งเดียวผ่าน SMS ไปยังหมายเลขโทรศัพท์ที่ลงทะเบียน เหมาะสำหรับผู้ใช้ที่ต้องการยืนยันตัวตนผ่านมือถือโดยไม่ต้องใช้แอปเพิ่มเติม
  - Email verification: วิธีที่เข้าถึงได้ง่าย ส่งรหัสยืนยันแบบใช้ครั้งเดียวไปยังอีเมลที่ลงทะเบียน เหมาะกับผู้ใช้ทุกแพลตฟอร์มและอุปกรณ์
2. ปัจจัยสำรอง:
  - Backup codes: ใช้เป็นตัวเลือกสำรองเมื่อผู้ใช้ไม่สามารถยืนยันตัวตนด้วยปัจจัยหลักข้างต้น การเปิดใช้งานนี้ช่วยลดอุปสรรคในการเข้าถึงของผู้ใช้
เลือกนโยบาย Require MFA จากดรอปดาวน์ นโยบายนี้ควบคุมว่าผู้ใช้ต้องทำ MFA เมื่อใดระหว่างการลงชื่อเข้าใช้:
- Optional MFA: ให้ผู้ใช้ตัดสินใจเองว่าจะเปิด MFA เพื่อความปลอดภัยของบัญชีหรือไม่ ผู้ใช้สามารถข้ามการตั้งค่า MFA ระหว่างลงชื่อเข้าใช้ และตั้งค่าได้ภายหลังผ่านหน้าตั้งค่าบัญชีด้วยตนเอง เรียนรู้เพิ่มเติม เกี่ยวกับการสร้างหน้าตั้งค่าบัญชีผู้ใช้
- Adaptive MFA: ใช้ MFA เฉพาะเมื่อการลงชื่อเข้าใช้ดูผิดปกติ เพื่อให้การลงชื่อเข้าใช้ที่มีความเสี่ยงต่ำเป็นไปอย่างราบรื่น ในขณะที่การลงชื่อเข้าใช้ที่น่าสงสัยจะได้รับการยืนยันเพิ่มเติม โหมดนี้ขึ้นอยู่กับการตั้งค่า MFA ที่มีอยู่ (ต้องเปิดใช้งานอย่างน้อย 1 ปัจจัย) ใช้กับ flow การลงชื่อเข้าใช้ของผู้ใช้ปลายทาง และไม่พึ่งพาการตรวจลายนิ้วมืออุปกรณ์หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนอื่น ๆ
- Mandatory MFA: บังคับให้ผู้ใช้ทุกคนต้องทำ MFA ทุกครั้งที่ลงชื่อเข้าใช้ ผู้ใช้ที่ยังไม่ได้ตั้งค่า MFA ต้องตั้งค่าก่อนจึงจะดำเนินการต่อได้
- เมื่อเลือก Optional MFA หรือ Adaptive MFA ให้ตั้งค่านโยบายการแจ้งเตือนให้ตั้งค่า MFA:
  - Do not ask users to set up MFA: จะไม่มีการแจ้งเตือนให้ผู้ใช้ตั้งค่า MFA ระหว่างลงชื่อเข้าใช้
  - Ask users to set up MFA during registration: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ระหว่างลงทะเบียน และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่แสดงอีก
  - Ask users to set up MFA on their sign-in after registration: ผู้ใช้ใหม่จะถูกแจ้งให้ตั้งค่า MFA ในการลงชื่อเข้าใช้ครั้งที่สองหลังลงทะเบียน และผู้ใช้เดิมจะเห็นแจ้งเตือนนี้ในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ใช้สามารถข้ามขั้นตอนนี้ได้ และจะไม่แสดงอีก

เมื่อ MFA เป็นแบบ optional และ Logto ตัดสินใจแจ้งเตือนผู้ใช้ ระบบจะขึ้นหน้าคอนเฟิร์มเปิดใช้งาน MFA ชื่อ เปิดใช้งานการยืนยันตัวตน 2 ขั้นตอน ในหน้านี้ ผู้ใช้สามารถเลือก เปิดใช้งานการยืนยันตัวตน 2 ขั้นตอน เพื่อดำเนินการผูก MFA หรือข้ามและจบ flow การลงชื่อเข้าใช้ / ลงทะเบียนโดยไม่เปิด MFA

เคล็ดลับ:

หากคุณต้องการแจ้งเตือนผู้ใช้อีกครั้งหลังจากที่พวกเขาข้ามการลงทะเบียน MFA ให้รีเซ็ตสถานะ skip ของพวกเขาเพื่อให้หน้าตั้งค่าปรากฏในการลงชื่อเข้าใช้ครั้งถัดไป ผู้ดูแลระบบสามารถใช้ Management API (PATCH /api/users/{userId}/logto-configs) และนักพัฒนาที่สร้าง flow แบบ self-service สามารถเรียก Account API (PATCH /api/my-account/logto-configs) Management API reference · Account API reference

การตั้งค่า MFA ระดับองค์กร

สำหรับผลิตภัณฑ์ที่มีสถาปัตยกรรมหลายผู้เช่า (multi-tenant) และรองรับ องค์กร (Organizations) โดยส่วนใหญ่คุณไม่จำเป็นต้องบังคับ MFA สำหรับผู้ใช้ทุกคน แต่สามารถเปิด MFA เป็นรายองค์กรได้ เพื่อปรับตามความต้องการของลูกค้าแต่ละราย ดูวิธีเริ่มต้นที่ บังคับ MFA สำหรับสมาชิกองค์กร

ในส่วน Multi-factor authentication ให้ตั้งค่า MFA setup prompt for users after organization enables MFA เป็น Ask users to set up MFA on next sign-in (no skipping) สมาชิกขององค์กรที่บังคับใช้ MFA จะถูกแจ้งให้ตั้งค่า MFA ในการลงชื่อเข้าใช้ครั้งถัดไป และไม่สามารถข้ามได้

กระบวนการใช้งาน MFA ของผู้ใช้

กระบวนการตั้งค่า MFA

เมื่อเปิดใช้งาน MFA แล้ว ผู้ใช้อาจถูกแจ้งให้ตั้งค่า MFA ระหว่างการลงชื่อเข้าใช้และลงทะเบียน ผู้ใช้สามารถข้ามขั้นตอนนี้ได้เฉพาะเมื่อเลือก Optional MFA ใน Require MFA policy

เข้าสู่หน้าลงชื่อเข้าใช้หรือหน้าลงทะเบียน: ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้หรือหน้าลงทะเบียน
ดำเนินการลงชื่อเข้าใช้หรือสมัครสมาชิกให้เสร็จสิ้น: ผู้ใช้ดำเนินการตรวจสอบตัวตนใน flow การลงชื่อเข้าใช้หรือสมัครสมาชิก
- หาก MFA เป็นแบบ optional และเปิดใช้นโยบายแจ้งเตือน Logto อาจแสดงหน้าชื่อ เปิดใช้งานการยืนยันตัวตน 2 ขั้นตอน ก่อนเริ่มผูก MFA
- ผู้ใช้สามารถข้ามหน้านี้เมื่อ MFA เป็น optional หรือคลิก เปิดใช้งานการยืนยันตัวตน 2 ขั้นตอน เพื่อดำเนินการต่อ
ตั้งค่าปัจจัยหลักของ MFA: ผู้ใช้จะถูกแจ้งให้ตั้งค่าปัจจัยหลักของ MFA (passkey, Authenticator app OTP, SMS code หรือ email code)
- หากเปิดใช้งานหลายปัจจัยหลัก ผู้ใช้สามารถเลือกตัวเลือกที่ต้องการได้
- หากปัจจัยหลักตรงกับตัวระบุที่ใช้สมัคร (เช่น SMS หรือ email) จะได้รับการยืนยันล่วงหน้า ผู้ใช้สามารถข้ามขั้นตอนยืนยันและไปยังขั้นตอนถัดไปได้ทันที (เช่น “เพิ่มการยืนยันตัวตน 2 ขั้นตอนอีกหนึ่งรายการ” หรือ “บันทึกรหัสสำรองของคุณ”)
- หากเลือก Optional MFA ใน Require MFA policy ผู้ใช้สามารถข้ามขั้นตอนนี้ได้โดยกดปุ่ม "ข้าม"
ตั้งค่าปัจจัยสำรองของ MFA: หากเปิดใช้งาน Backup codes ผู้ใช้จะถูกแจ้งให้บันทึกรหัสสำรองหลังตั้งค่าปัจจัยหลักเสร็จ รหัสสำรองที่สร้างอัตโนมัติจะแสดงให้ผู้ใช้ดาวน์โหลดและเก็บไว้อย่างปลอดภัย ผู้ใช้ต้องยืนยันรหัสสำรองด้วยตนเองเพื่อจบกระบวนการตั้งค่า MFA

กระบวนการยืนยัน MFA

ผู้ใช้ที่ตั้งค่า MFA แล้วจะถูกแจ้งให้ยืนยันตัวตนด้วยปัจจัย MFA ที่ตั้งค่าไว้ระหว่างการลงชื่อเข้าใช้ ปัจจัยที่ใช้ขึ้นอยู่กับการตั้งค่า MFA ใน Logto และการตั้งค่าของผู้ใช้

หากผู้ใช้ลงชื่อเข้าใช้ด้วย passkey sign-in Logto จะข้ามขั้นตอนยืนยัน MFA แยกต่างหาก เพราะ passkey ที่ใช้ลงชื่อเข้าใช้ถือเป็นปัจจัย MFA แบบ WebAuthn อยู่แล้ว

หากผู้ใช้ตั้งค่าเพียงปัจจัยเดียว จะถูกยืนยันด้วยปัจจัยนั้นโดยตรง
หากผู้ใช้ตั้งค่าหลายปัจจัยสำหรับ 2FA ระบบจะนำเสนอวิธีการยืนยันตามลำดับความสำคัญดังนี้:
- Passkey priority: หากผู้ใช้ตั้งค่า passkey จะถูกนำเสนอเป็นวิธีเริ่มต้น
- Last-used preference: หากไม่มี passkey ระบบจะเลือกวิธีที่ผู้ใช้ใช้สำเร็จล่าสุด
- Selection list: หากไม่มีลำดับความสำคัญข้างต้น หน้าการยืนยัน 2 ขั้นตอนจะแสดงวิธีที่ผูกไว้ทั้งหมดให้ผู้ใช้เลือก
- ผู้ใช้สามารถคลิก "ลองวิธีอื่นเพื่อยืนยัน" เพื่อสลับวิธีการยืนยันได้ตลอดเวลา
หากปัจจัยหลักที่เปิดใช้งานทั้งหมดไม่พร้อมใช้งาน และเปิดใช้งานรหัสสำรอง ผู้ใช้สามารถใช้รหัสสำรองแบบใช้ครั้งเดียวเพื่อยืนยันตัวตน

การจัดการ MFA

นอกเหนือจากการตั้งค่าเริ่มต้นระหว่างลงชื่อเข้าใช้ / ลงทะเบียน ผู้ใช้สามารถจัดการการตั้งค่า MFA ได้ผ่านศูนย์บัญชีแบบ self-service เพื่อความยืดหยุ่นในการผูกหรือยกเลิกผูกปัจจัย MFA ตามต้องการ

การสร้างศูนย์บัญชี

คุณสามารถสร้างศูนย์บัญชีที่ครบถ้วนโดยใช้ Account API ของ Logto ซึ่งช่วยให้ผู้ใช้สามารถ:

ผูกปัจจัย MFA ใหม่: เพิ่มแอปยืนยันตัวตน, passkey หรือสร้างรหัสสำรองใหม่
ยกเลิกผูกปัจจัย MFA ที่มีอยู่: ลบวิธี MFA ที่ไม่ต้องการใช้งาน
ดูสถานะ MFA ปัจจุบัน: ตรวจสอบว่าตั้งค่าปัจจัย MFA อะไรไว้บ้าง

สำหรับแอปที่ไม่บังคับ MFA ระหว่างลงทะเบียนครั้งแรก คุณสามารถใช้การแจ้งเตือนอัจฉริยะเพื่อกระตุ้นให้ผู้ใช้ตั้งค่า MFA ได้ เช่น:

Conditional prompts: แนะนำการตั้งค่า MFA ตามพฤติกรรมผู้ใช้หรือมูลค่าบัญชี
Security dashboards: แสดงคะแนนความปลอดภัยที่เพิ่มขึ้นเมื่อเปิด MFA
Gradual onboarding: นำเสนอการตั้งค่า MFA เป็นส่วนหนึ่งของ flow การเพิ่มความปลอดภัยแบบค่อยเป็นค่อยไป

เรียนรู้เพิ่มเติมเกี่ยวกับการใช้งานรูปแบบเหล่านี้กับ Account API

จัดการ MFA ของผู้ใช้ใน Console

ใน Console > User management ผู้ดูแลระบบสามารถจัดการการตั้งค่า MFA ของผู้ใช้ได้อย่างมีประสิทธิภาพ:

ดูสถานะ MFA ของผู้ใช้: ตรวจสอบว่าผู้ใช้แต่ละคนเปิดใช้งานปัจจัย MFA อะไรบ้าง
ลบ MFA ของผู้ใช้: ลบปัจจัย MFA ทั้งหมดของผู้ใช้ ทำให้ต้องตั้งค่า MFA ใหม่อีกครั้ง

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นเมื่อผู้ดูแลระบบลบปัจจัย MFA เดิมของผู้ใช้ออก?

เมื่อผู้ดูแลระบบลบปัจจัย MFA หลักทั้งหมดของผู้ใช้ (passkey, authenticator app OTP, SMS หรือ email) จะเกิดสถานการณ์ดังนี้ในการลงชื่อเข้าใช้ครั้งถัดไปของผู้ใช้:

สถานการณ์ที่ 1: ไม่มีปัจจัย MFA เหลืออยู่

หากไม่มีปัจจัย MFA ใด ๆ (รวมถึงไม่มีรหัสสำรอง) และ นโยบาย MFA กำหนดให้ต้องใช้ MFA ผู้ใช้จะสามารถลงชื่อเข้าใช้ได้โดยไม่ต้องยืนยัน MFA และจะถูกแจ้งให้ตั้งค่า MFA ใหม่ทันที

สถานการณ์ที่ 2: ยังมีรหัสสำรองเหลืออยู่

หากยังมีรหัสสำรอง ผู้ใช้ต้องยืนยันตัวตนด้วยรหัสสำรองก่อนระหว่างลงชื่อเข้าใช้
หลังยืนยันรหัสสำรองสำเร็จ ผู้ใช้จะถูกแจ้งให้ตั้งค่าปัจจัย MFA หลักใหม่
ผู้ใช้จะสามารถข้ามขั้นตอนนี้ได้หรือไม่ขึ้นอยู่กับนโยบาย MFA ที่คุณตั้งไว้
วิธีนี้ช่วยป้องกันไม่ให้ผู้ใช้ถูกล็อกบัญชีเมื่อไม่มีปัจจัยหลักเหลืออยู่

ตั้งค่าการยืนยันตัวตนหลายปัจจัย (MFA) ใน Logto​

การตั้งค่า MFA ระดับโกลบอล​

การตั้งค่า MFA ระดับองค์กร​

กระบวนการใช้งาน MFA ของผู้ใช้​

กระบวนการตั้งค่า MFA​

กระบวนการยืนยัน MFA​

การจัดการ MFA​

การสร้างศูนย์บัญชี​

แจ้งเตือนการตั้งค่า MFA หลังเข้าสู่ระบบ​

จัดการ MFA ของผู้ใช้ใน Console​

คำถามที่พบบ่อย​

จะเกิดอะไรขึ้นเมื่อผู้ดูแลระบบลบปัจจัย MFA เดิมของผู้ใช้ออก?​