จัดการผู้ใช้

จัดการผ่าน Logto Console

เรียกดูและค้นหาผู้ใช้

เพื่อเข้าถึงฟังก์ชันการจัดการผู้ใช้ใน Logto Console ให้ไปที่ Console > การจัดการผู้ใช้ เมื่อเข้าไปแล้ว คุณจะเห็นตารางแสดงผู้ใช้ทั้งหมด

ตารางประกอบด้วย 3 คอลัมน์:

ผู้ใช้: แสดงข้อมูลเกี่ยวกับผู้ใช้ เช่น อวาตาร์ ชื่อเต็ม ชื่อผู้ใช้ หมายเลขโทรศัพท์ และอีเมล
จากแอปพลิเคชัน: แสดงชื่อแอปพลิเคชันที่ผู้ใช้ลงทะเบียนครั้งแรก
การลงชื่อเข้าใช้ล่าสุด: แสดงเวลาที่ผู้ใช้ลงชื่อเข้าใช้ล่าสุด

รองรับการค้นหาด้วยคีย์เวิร์ดสำหรับ name, id, username, primary-phone, primary-email

เพิ่มผู้ใช้

นักพัฒนาสามารถสร้างบัญชีใหม่ให้ผู้ใช้ปลายทางผ่าน Console ได้ โดยคลิกปุ่ม "เพิ่มผู้ใช้" ที่มุมขวาบนของหน้าจอ

เมื่อสร้างผู้ใช้ใน Logto Console หรือผ่าน Management API (ไม่ใช่การลงทะเบียนด้วยตนเองผ่าน UI) คุณต้องระบุ identifier อย่างน้อยหนึ่งรายการ ได้แก่ primary email, primary phone หรือ username ส่วน name เป็นตัวเลือก

หลังจากสร้างผู้ใช้แล้ว Logto จะสร้างรหัสผ่านแบบสุ่มให้อัตโนมัติ รหัสผ่านเริ่มต้นจะแสดงเพียงครั้งเดียว แต่คุณสามารถ รีเซ็ตรหัสผ่าน ได้ในภายหลัง หากต้องการตั้งรหัสผ่านเฉพาะ ให้ใช้ Management API patch /api/users/{userId}/password เพื่ออัปเดตหลังจากสร้างผู้ใช้แล้ว

คุณสามารถคัดลอก identifier ที่กรอก (ที่อยู่อีเมล / หมายเลขโทรศัพท์ / ชื่อผู้ใช้) และ รหัสผ่านเริ่มต้น ได้ในคลิกเดียว เพื่อให้แบ่งปันข้อมูลเข้าสู่ระบบกับผู้ใช้ใหม่ได้สะดวก

เคล็ดลับ:

หากต้องการให้ลงทะเบียนเฉพาะผู้ที่ได้รับเชิญ แนะนำให้ เชิญผู้ใช้ด้วย magic link วิธีนี้จะอนุญาตเฉพาะผู้ใช้ที่อยู่ใน whitelist ให้ลงทะเบียนและตั้งรหัสผ่านเอง

ดูและอัปเดตโปรไฟล์ผู้ใช้

เพื่อดูรายละเอียดของผู้ใช้ ให้คลิกแถวที่ต้องการในตารางผู้ใช้ จะเข้าสู่หน้า "รายละเอียดผู้ใช้" ซึ่งจะแสดงข้อมูลโปรไฟล์ของผู้ใช้ รวมถึง:

ข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตน (Authentication):
- ที่อยู่อีเมล (primary_email): แก้ไขได้
- หมายเลขโทรศัพท์ (primary_phone): แก้ไขได้
- ชื่อผู้ใช้ (username): แก้ไขได้
- รหัสผ่าน (has_password): สามารถสร้างรหัสผ่านแบบสุ่มใหม่ได้ ดูเพิ่มเติมที่ "รีเซ็ตรหัสผ่านผู้ใช้"
- การยืนยันตัวตนหลายปัจจัย (Multi-factor authentication; MFA) (mfa_verification_factor): ดูปัจจัยการยืนยันตัวตนทั้งหมด (เช่น passkey, แอป authenticator, รหัสสำรอง) ที่ผู้ใช้ตั้งค่าไว้ สามารถลบปัจจัยเหล่านี้ใน Console ได้
- Passkey: เมื่อเปิดใช้งาน การลงชื่อเข้าใช้ด้วย passkey ใน tenant คุณสามารถดู passkey ที่ผู้ใช้ตั้งค่าไว้และลบได้หากต้องการ Passkey เหล่านี้ใช้โมเดล credential เดียวกับ MFA
- Personal access token: สร้าง ดู เปลี่ยนชื่อ และลบ personal access tokens
การเชื่อมต่อ:
- การเชื่อมต่อโซเชียล (Social connections) (identities):
  - ดูบัญชีโซเชียลที่เชื่อมโยงกับผู้ใช้ รวมถึง social ID และข้อมูลโปรไฟล์ที่ซิงก์จากผู้ให้บริการโซเชียล (เช่น หากผู้ใช้ลงชื่อเข้าใช้ด้วย Facebook จะมีรายการ "Facebook" ปรากฏ)
  - สามารถลบ social identity ที่มีอยู่ได้ แต่ไม่สามารถเชื่อมโยงบัญชีโซเชียลใหม่แทนผู้ใช้
  - สำหรับตัวเชื่อมต่อโซเชียลที่เปิด token storage สามารถดูและจัดการ access token และ refresh token ได้ในหน้ารายละเอียดการเชื่อมต่อ
- การเชื่อมต่อ Enterprise SSO (sso_identities):
  - ดู enterprise identity ที่เชื่อมโยงกับผู้ใช้ รวมถึง enterprise ID และข้อมูลโปรไฟล์ที่ซิงก์จากผู้ให้บริการข้อมูลระบุตัวตนขององค์กร
  - ไม่สามารถเพิ่มหรือลบ enterprise SSO identity ใน Console ได้
  - สำหรับตัวเชื่อมต่อองค์กรที่ใช้ OIDC และเปิด token storage สามารถดูและลบ token ได้ในหน้ารายละเอียดการเชื่อมต่อ
ข้อมูลโปรไฟล์ผู้ใช้: ชื่อ, URL อวาตาร์, ข้อมูล custom, และ OpenID Connect standard claims อื่น ๆ ที่ไม่ได้รวมไว้ ทุกฟิลด์โปรไฟล์เหล่านี้สามารถแก้ไขได้
เซสชัน: ดูรายการเซสชันที่ผู้ใช้กำลังใช้งาน รวมถึงข้อมูลอุปกรณ์ sessionId และตำแหน่ง GEO (ถ้ามี) ดูรายละเอียดเพิ่มเติมของเซสชันและเพิกถอนเซสชันได้ในหน้ารายละเอียดเซสชัน

คำเตือน:

ควรตรวจสอบให้แน่ใจว่าผู้ใช้มีวิธีลงชื่อเข้าใช้อื่นก่อนลบการเชื่อมต่อโซเชียล เช่น การเชื่อมต่อโซเชียลอื่น หมายเลขโทรศัพท์ อีเมล หรือชื่อผู้ใช้พร้อมรหัสผ่าน หากไม่มีวิธีอื่น ผู้ใช้จะไม่สามารถเข้าถึงบัญชีได้อีกหลังจากลบการเชื่อมต่อโซเชียล

ดูกิจกรรมของผู้ใช้

เพื่อดูประวัติกิจกรรมล่าสุดของผู้ใช้ ให้ไปที่แท็บย่อย "User logs" ในหน้า "รายละเอียดผู้ใช้" จะมีตารางแสดงกิจกรรมล่าสุดของผู้ใช้ เช่น การกระทำที่เกิดขึ้น ผลลัพธ์ของการกระทำนั้น แอปที่เกี่ยวข้อง และเวลาที่ผู้ใช้ดำเนินการ

คลิกแถวในตารางเพื่อดูรายละเอียดเพิ่มเติมใน user log เช่น IP address, user agent, raw data ฯลฯ

ระงับผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ระงับผู้ใช้"

เมื่อผู้ใช้ถูกระงับ จะไม่สามารถลงชื่อเข้าใช้แอปของคุณและจะไม่สามารถขอรับ access token ใหม่หลังจาก token ปัจจุบันหมดอายุ นอกจากนี้ คำขอ API ใด ๆ ที่ผู้ใช้นี้ส่งจะล้มเหลว

หากต้องการเปิดใช้งานผู้ใช้นี้อีกครั้ง ให้คลิก "จุดสามจุด" -> ปุ่ม "เปิดใช้งานผู้ใช้"

ลบผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "ลบ" การลบผู้ใช้ไม่สามารถย้อนกลับได้

รีเซ็ตรหัสผ่านผู้ใช้

ในหน้า "รายละเอียดผู้ใช้" คลิก "จุดสามจุด" -> ปุ่ม "รีเซ็ตรหัสผ่าน" จากนั้น Logto จะสร้างรหัสผ่านแบบสุ่มใหม่ให้อัตโนมัติ

หลังจากรีเซ็ตรหัสผ่านแล้ว ให้คัดลอกและส่งให้ผู้ใช้ปลายทาง เมื่อปิดหน้าต่าง "รีเซ็ตรหัสผ่าน" แล้ว จะไม่สามารถดูรหัสผ่านได้อีก หากลืมบันทึกไว้ สามารถรีเซ็ตใหม่ได้

คุณไม่สามารถตั้งรหัสผ่านเฉพาะให้ผู้ใช้ใน Logto Console ได้ แต่สามารถใช้ Management API PATCH /api/users/{userId}/password เพื่อระบุรหัสผ่านได้

จัดการเซสชันที่ผู้ใช้กำลังใช้งาน

ในหน้า "รายละเอียดผู้ใช้" ไปที่หน้า "รายละเอียดเซสชัน" โดยคลิกปุ่ม "จัดการ" ของเซสชันที่ต้องการ ที่นี่คุณสามารถดูข้อมูลรายละเอียดของเซสชัน เช่น อุปกรณ์ ตำแหน่ง และเวลาลงชื่อเข้าใช้ หากต้องการออกจากระบบผู้ใช้จากเซสชันนี้ ให้คลิกปุ่ม "เพิกถอนเซสชัน" ที่มุมขวาบน เซสชันจะถูกเพิกถอนทันที

โดยปกติการเพิกถอนเซสชันใน Console จะเพิกถอน grant ของแอป first-party ทั้งหมดที่เกี่ยวข้องกับเซสชันนั้นด้วย และผู้ใช้ต้องลงชื่อเข้าใช้อีกครั้งเพื่อเข้าถึงใหม่ โทเค็นทึบ (Opaque token) และโทเค็นรีเฟรช (Refresh token) ที่ออกให้แอป first-party ก่อนหน้านี้จะถูกเพิกถอนทันที
สำหรับแอป third-party ที่มีขอบเขต offline_access การเพิกถอนเซสชันจะไม่เพิกถอน grant ของแอปโดยอัตโนมัติ โทเค็นรีเฟรชที่ออกไว้ก่อนหน้านี้ยังคงใช้ได้จนกว่า grant จะหมดอายุ

ตรวจสอบความสอดคล้องของรหัสผ่าน

หลังจากคุณอัปเดต นโยบายรหัสผ่าน ใน Logto ผู้ใช้เดิมยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านเดิมได้ จะมีผลเฉพาะบัญชีใหม่ที่สร้างขึ้นเท่านั้นที่ต้องปฏิบัติตามนโยบายรหัสผ่านใหม่

เพื่อบังคับใช้ความปลอดภัยที่เข้มงวดยิ่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้เริ่มต้นหรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านผ่าน flow แบบกำหนดเองโดยใช้ Account API

จัดการบทบาทของผู้ใช้

ในแท็บ "บทบาท" ของหน้าโปรไฟล์ผู้ใช้ คุณสามารถกำหนดหรือลบบทบาทได้อย่างง่ายดาย ดูรายละเอียดที่ การควบคุมการเข้าถึงตามบทบาท (RBAC)

ดูองค์กรที่ผู้ใช้สังกัด

Logto รองรับ องค์กร และสามารถจัดการสมาชิกได้ คุณสามารถดูรายละเอียดผู้ใช้และดูว่าอยู่ในองค์กรใดได้อย่างง่ายดาย

จัดการผ่าน Logto Management API

Management API คือชุด API ที่ให้สิทธิ์เข้าถึงบริการ backend ของ Logto ดังที่กล่าวไปแล้ว API ที่เกี่ยวข้องกับผู้ใช้เป็นส่วนสำคัญของบริการนี้และรองรับกรณีการใช้งานที่หลากหลาย

API แบบ RESTful ที่เกี่ยวข้องกับผู้ใช้จะอยู่ที่ /api/users ยกเว้นกิจกรรมของผู้ใช้ (user logs) ซึ่งอยู่ที่ /api/logs?userId=:userId

คุณสามารถจัดการผู้ใช้ผ่าน Management API ได้ในหลายกรณี เช่น การค้นหาผู้ใช้ขั้นสูง, การสร้างบัญชีจำนวนมาก, การลงทะเบียนแบบเชิญเท่านั้น เป็นต้น

คำถามที่พบบ่อย

จะจำกัดการเข้าถึงแอปพลิเคชันบางตัวสำหรับผู้ใช้เฉพาะกลุ่มได้อย่างไร?

เนื่องจากธรรมชาติของ Omni-sign-in ของ Logto จึงไม่ได้ออกแบบมาเพื่อจำกัดการเข้าถึงแอปพลิเคชันบางตัวก่อนการยืนยันตัวตน อย่างไรก็ตาม คุณยังสามารถออกแบบบทบาทและสิทธิ์ของผู้ใช้เฉพาะแอปเพื่อปกป้องทรัพยากร API ของคุณ และตรวจสอบสิทธิ์เมื่อผู้ใช้ลงชื่อเข้าใช้สำเร็จ ดูรายละเอียดที่ การอนุญาต (Authorization): การควบคุมการเข้าถึงตามบทบาท (RBAC)

จัดการผ่าน Logto Console​

เรียกดูและค้นหาผู้ใช้​

เพิ่มผู้ใช้​

ดูและอัปเดตโปรไฟล์ผู้ใช้​

ดูกิจกรรมของผู้ใช้​

ระงับผู้ใช้​

ลบผู้ใช้​

รีเซ็ตรหัสผ่านผู้ใช้​

จัดการเซสชันที่ผู้ใช้กำลังใช้งาน​

ตรวจสอบความสอดคล้องของรหัสผ่าน​

จัดการบทบาทของผู้ใช้​

ดูองค์กรที่ผู้ใช้สังกัด​

จัดการผ่าน Logto Management API​

คำถามที่พบบ่อย​

จะจำกัดการเข้าถึงแอปพลิเคชันบางตัวสำหรับผู้ใช้เฉพาะกลุ่มได้อย่างไร?​