管理使用者
透過 Logto Console 管理
瀏覽與搜尋使用者
要在 Logto Console 存取使用者管理功能,請前往 Console > 使用者管理。進入後,你會看到所有使用者的表格檢視。
此表格包含三個欄位:
- 使用者:顯示使用者資訊,如頭像、全名、使用者名稱、電話號碼與電子郵件
- 來自應用程式:顯示該使用者最初註冊時所用的應用程式名稱
- 最近登入:顯示使用者最近一次登入的時間戳記
支援 name、id、username、primary-phone、primary-email 的關鍵字對應搜尋。
新增使用者
開發者可透過 Console 為終端使用者建立新帳號。只需點擊畫面右上角的「新增使用者」按鈕。
在 Logto Console 或透過 Management API 建立使用者時(非終端使用者自行 UI 註冊),你必須至少提供一個識別資訊:primary email、primary phone 或 username。name 欄位為選填。
使用者建立後,Logto 會自動產生一組隨機密碼。初始密碼僅顯示一次,但你可於後續 重設密碼。若需設定特定密碼,請於建立後使用 Management API patch /api/users/{userId}/password 進行更新。
你可以一鍵複製輸入的識別資訊(電子郵件 / 電話號碼 / 使用者名稱)與初始密碼,方便將這些憑證分享給新使用者,讓他們登入並開始使用。
若你想實作邀請制註冊,建議使用 邀請使用者並發送魔法連結。這樣僅白名單使用者可自行註冊並設定密碼。
檢視與更新使用者資料
點擊使用者表格中的對應列,即可檢視該使用者的詳細資料。你將進入「使用者詳情」頁面,內容包含:
- 驗證 (Authentication) 相關資料:
- 電子郵件地址(primary_email):可編輯
- 電話號碼(primary_phone):可編輯
- 使用者名稱(username):可編輯
- 密碼(has_password):可重新產生隨機密碼。詳見「重設使用者密碼」。
- 多重要素驗證 (MFA, Multi-factor authentication)(mfa_verification_factor):檢視該使用者已設定的所有驗證因子(如通行密鑰、驗證器 App、備用代碼),可於 Console 移除因子。
- 通行密鑰 (Passkeys):當租戶啟用 通行密鑰登入 時,你也可在使用者詳情頁檢視並移除該使用者的登入通行密鑰。這些通行密鑰與 MFA 採用相同 WebAuthn 憑證模型。
- 個人存取權杖 (Personal access token):建立、檢視、重新命名與刪除 個人存取權杖。
- 連線:
- 社交連線(identities):
- 檢視使用者已綁定的社交帳號,包括社交 ID 與從社交平台同步的個人資料(如使用 Facebook 登入則會顯示「Facebook」條目)。
- 可移除現有社交身分,但無法代替使用者新增新的社交帳號。
- 若社交連接器啟用 權杖儲存,可於連線詳情頁檢視與管理存取權杖與重新整理權杖。
- 企業級單一登入 (Enterprise SSO) 連線(sso_identities):
- 檢視使用者已綁定的企業身分,包括企業 ID 與從企業身分提供者同步的個人資料。
- Console 不支援新增或移除企業 SSO 身分。
- 若 OIDC 型企業連接器啟用 權杖儲存,可於連線詳情頁檢視與刪除權杖。
- 社交連線(identities):
- 使用者個人資料:姓名、頭像 URL、自訂資料,以及其他未列出的 OpenID Connect 標準宣告。這些欄位皆可編輯。
- 工作階段 (Sessions):檢視使用者的所有啟用工作階段,包括裝置資訊、sessionId 與地理位置(如適用)。可進一步檢視工作階段詳情並撤銷。
在移除社交連線前,請務必確認使用者有其他登入方式,例如其他社交連線、電話號碼、電子郵件或使用者名稱 / 密碼。否則移除後,使用者將無法再次登入其帳號。
檢視使用者活動紀錄
要檢視使用者近期活動,請至「使用者詳情」頁的「使用者日誌」子分頁。這裡會顯示一個表格,包含使用者近期執行的動作、結果、相關應用程式與執行時間。
點擊表格列可檢視該活動的更多細節,如 IP 位址、user agent、原始資料等。
停用使用者
於「使用者詳情」頁,點擊「三點」->「停用使用者」按鈕。
使用者被停用後,將無法登入你的應用程式,且現有存取權杖過期後無法再取得新權杖。此外,該使用者發出的任何 API 請求都會失敗。
若需重新啟用該使用者,可點擊「三點」->「重新啟用使用者」按鈕。
刪除使用者
於「使用者詳情」頁,點擊「三點」->「刪除」按鈕。刪除後無法復原。
重設使用者密碼
於「使用者詳情」頁,點擊「三點」->「重設密碼」按鈕,Logto 將自動重新產生一組隨機密碼。
重設密碼後,請複製並傳送給終端使用者。關閉「重設密碼」視窗後將無法再次檢視密碼,若忘記保存可再次重設。
你無法在 Logto Console 為使用者設定特定密碼,但可使用 Management API PATCH /api/users/{userId}/password 指定密碼。
管理使用者啟用工作階段
於「使用者詳情」頁,點擊特定工作階段的「管理」按鈕進入「工作階段詳情」頁。你可檢視該工作階段的詳細資訊,如裝置、地點與登入時間。若需讓使用者登出該工作階段,只需點擊右上角的「撤銷工作階段」按鈕,該工作階段將立即失效。
- 預設在 Console 撤銷工作階段時,會同時撤銷該工作階段關聯的所有第一方應用程式授權,使用者需重新登入才能恢復存取。所有已發出的不透明權杖 (Opaque token) 與重新整理權杖 (Refresh token) 也會立即撤銷。
- 對於具有
offline_access權限範圍的第三方應用程式,撤銷工作階段預設不會撤銷應用程式授權,已發出的重新整理權杖仍可使用,直到授權過期。
密碼合規性檢查
當你在 Logto 更新 密碼政策 後,現有使用者仍可用原密碼登入。僅新建立帳號需遵循最新密碼政策。
為強化安全性,你可使用 POST /api/sign-in-exp/default/check-password API 檢查使用者密碼是否符合預設登入體驗下的現行政策。若不符合,可透過自訂流程提示使用者使用 Account API 更新密碼。
管理使用者角色
在使用者詳情頁的「角色 (Roles)」分頁,你可輕鬆指派或移除角色以達到預期效果。詳見 角色型存取控制 (RBAC)。
檢視使用者所屬組織
Logto 支援 組織 (Organizations) 並可管理其成員。你可輕鬆檢視使用者詳情並查詢其所屬組織。
透過 Logto Management API 管理
Management API 是一組存取 Logto 後端服務的 API。如前所述,使用者 API 是此服務的重要組件,可支援多種情境。
與使用者相關的 RESTful API 掛載於 /api/users,僅使用者活動(即使用者日誌 /api/logs?userId=:userId)例外。
你可在多種情境下透過 Management API 管理使用者,例如 進階使用者搜尋、批次建立帳號、邀請制註冊 等。
常見問題
如何限制特定使用者存取某些應用程式?
由於 Logto 的 Omni-sign-in 特性,設計上不支援在驗證 (Authentication) 前限制使用者存取特定應用程式。 不過,你仍可設計應用程式專屬的使用者角色與權限,保護你的 API 資源,並於使用者成功登入後在 API 存取時驗證權限。 詳見授權 (Authorization):角色型存取控制 (RBAC)。