設定多重要素驗證 (MFA, Multi-factor authentication)
在 Logto 設定 MFA
Logto 提供彈性的多重要素驗證 (MFA) 設定選項,以滿足不同的安全需求。你可以在全域層級為所有使用者設定 MFA,或針對多租戶應用程式依組織啟用 MFA。
全域 MFA 設定
依照下列步驟,在使用者的 Logto 登入流程中啟用 MFA:
- 前往:主控台 > 多重要素驗證 (Multi-factor auth)。
- 啟用你希望支援的驗證因子:
- 主要因子:
- 通行密鑰 (Passkeys, WebAuthn):高安全性的選擇,適合支援裝置生物辨識或安全金鑰等網頁產品,確保強健的防護。
- 驗證器 App OTP:最常見且廣泛接受的方法。使用如 Google Authenticator 或 Authy 等驗證器 App 產生的基於時間的一次性密碼 (TOTP)。
- 簡訊驗證 (SMS verification):透過簡訊將一次性驗證碼發送到使用者註冊的手機號碼,適合偏好行動裝置驗證且不想安裝額外 App 的使用者。
- 電子郵件驗證 (Email verification):將一次性驗證碼發送到使用者註冊的電子郵件信箱,適用於所有平台與裝置的使用者。
- 備用因子:
- 備用碼 (Backup codes):當使用者無法驗證上述任何主要因子時,可作為備用選項。啟用此選項可降低使用者存取失敗的阻力。
- 主要因子:
- 從下拉選單選擇 要求 MFA (Require MFA) 政策。此政策控制使用者在登入時必須完成 MFA 的時機:
- 選擇性 MFA (Optional MFA):讓使用者自行決定是否啟用 MFA 以提升帳戶安全。使用者可在登入時略過 MFA 設定,並可於自助帳戶設定頁面稍後設定。 進一步了解 如何實作使用者帳戶設定頁面。
- 自適應 MFA (Adaptive MFA):僅在登入行為異常時要求 MFA,低風險登入流程更順暢,疑似可疑登入則需額外驗證。此模式依賴你已啟用的 MFA(至少需啟用一種因子),適用於終端使用者登入流程,且不依賴裝置指紋或其他敏感個資。
- 強制 MFA (Mandatory MFA):所有使用者每次登入都必須完成 MFA。尚未設定 MFA 的使用者必須先完成設定才能繼續。
- 當選擇 選擇性 MFA 或 自適應 MFA 時,可設定 MFA 設定提示政策:
- 不提示使用者設定 MFA:登入時不會提示使用者設定 MFA。
- 註冊時提示使用者設定 MFA:新使用者註冊時會提示設定 MFA,現有使用者則於下次登入時看到提示。使用者可略過此步驟,且不會再次出現。
- 註冊後首次登入時提示使用者設定 MFA:新使用者註冊後第二次登入時會提示設定 MFA,現有使用者則於下次登入時看到提示。使用者可略過此步驟,且不會再次出現。
當 MFA 為選擇性且 Logto 決定提示使用者時,流程會先顯示一個標題為 開啟兩步驟驗證 (Turn on 2-step verification) 的啟用 MFA 確認頁。此頁面上,使用者可選擇 啟用兩步驟驗證 (Enable 2-step verification) 以繼續 MFA 綁定,或略過提示並完成當前登入 / 註冊流程而不啟用 MFA。
若你需要在使用者略過 MFA 註冊後再次提示,請重設其略過狀態,讓下次登入時顯示設定畫面。管理員可使用 Management API(PATCH /api/users/{userId}/logto-configs),開發者在自助流程中可呼叫 Account API(PATCH /api/my-account/logto-configs)。Management API 參考文件 · Account API 參考文件
組織層級 MFA 設定
對於支援 組織 (Organizations) 的多租戶架構產品,大多數情況下你不需要要求所有使用者都啟用 MFA。你可以依組織啟用 MFA,根據每個客戶的需求量身訂做。請參考 要求組織成員啟用 MFA 開始設定。
在 多重要素驗證 (Multi-factor authentication) 區段,將 組織啟用 MFA 後對使用者的 MFA 設定提示 設為 下次登入時提示使用者設定 MFA(不可略過)。任何要求 MFA 的組織成員下次登入時都會被強制提示完成 MFA 設定,且無法略過。
MFA 使用者流程
MFA 設定流程
啟用 MFA 後,使用者可能會在登入或註冊時被提示設定 MFA。僅當 要求 MFA (Require MFA) 政策選擇 選擇性 MFA (Optional MFA) 時,使用者才可略過此設定流程。
- 造訪登入或註冊頁面:使用者前往登入或註冊頁。
- 完成登入或註冊:使用者在登入或註冊流程中完成身分驗證。
- 若 MFA 為選擇性且啟用提示政策,Logto 可能會先顯示
開啟兩步驟驗證 (Turn on 2-step verification)頁面,才開始任何 MFA 因子綁定。 - 使用者可在 MFA 為選擇性時略過此頁,或點擊
啟用兩步驟驗證 (Enable 2-step verification)繼續。
- 若 MFA 為選擇性且啟用提示政策,Logto 可能會先顯示
- 設定 MFA 主要因子:系統提示使用者設定主要 MFA 因子(通行密鑰、驗證器 App OTP、簡訊驗證碼或電子郵件驗證碼)。
- 若啟用多種主要因子,使用者可選擇偏好的選項。
- 若主要因子與註冊識別碼相同(如簡訊或電子郵件),將自動預先驗證,使用者可略過驗證步驟直接進入下一步(如「新增另一個兩步驟驗證」或「儲存你的備用因子」)。
- 若 要求 MFA (Require MFA) 政策選擇 選擇性 MFA (Optional MFA),可點選「略過」按鈕跳過此步驟。
- 設定 MFA 備用因子:若啟用 備用碼 (Backup codes),使用者在成功設定主要驗證因子後會被提示儲存備用碼。系統會自動產生備用碼供使用者下載並妥善保存。使用者必須手動確認備用碼,才能完成 MFA 設定流程。
MFA 驗證流程
已設定 MFA 的使用者,在登入時會被提示使用已綁定的 MFA 因子驗證身分。驗證因子會依 Logto 的 MFA 設定與使用者個人設定而定。
若使用者以 通行密鑰登入 (passkey sign-in),Logto 會略過額外的 MFA 驗證步驟,因為登入時使用的通行密鑰本身即為 WebAuthn MFA 因子。
- 若使用者僅設定一種因子,將直接驗證該因子。
- 若設定多種因子進行兩步驟驗證 (2FA),系統會依下列優先規則呈現驗證選項:
- 通行密鑰優先 (Passkey priority):若已設定通行密鑰,預設以此作為驗證方式。
- 上次使用偏好 (Last-used preference):若無通行密鑰,系統優先選擇使用者上次成功驗證的方法。
- 選擇清單 (Selection list):若上述皆不適用,兩步驟驗證頁會顯示所有可用的驗證方法供使用者選擇。
- 使用者可隨時點擊「嘗試其他驗證方式 (Try another method to verify)」切換不同驗證選項。
- 若所有啟用的主要因子皆不可用,且已啟用備用碼,使用者可用一次性備用碼驗證身分。
MFA 管理
除了登入 / 註冊時的初始設定外,使用者可透過自助帳戶中心管理 MFA 設定,靈活綁定或解除 MFA 因子。
建立帳戶中心
你可利用 Logto 的 Account API 建立完整的帳戶中心,讓使用者:
- 綁定新 MFA 因子:新增驗證器 App、通行密鑰或重新產生備用碼
- 解除現有 MFA 因子:移除不再使用的 MFA 方法
- 檢視目前 MFA 狀態:查看目前已設定哪些 MFA 因子
登入後 MFA 設定提示
對於註冊時不強制要求 MFA 的應用程式,你可實作智慧提示以鼓勵使用者設定 MFA:
- 條件式提示:根據使用者行為或帳戶價值顯示 MFA 設定建議
- 安全儀表板:顯示安全分數,啟用 MFA 後分數提升
- 漸進式導入:將 MFA 設定納入逐步提升安全性的流程
進一步了解如何用 Account API 實作這些模式。
在主控台管理使用者 MFA
於 主控台 > 使用者管理 (User management),管理員可有效管理使用者 MFA 設定:
- 檢視使用者 MFA 狀態:查看每位使用者啟用哪些 MFA 因子。
- 移除使用者 MFA:刪除使用者所有 MFA 因子,強制其重新設定 MFA。