Configurar MFA
Configurar as configurações de MFA no Logto
Siga estas etapas para habilitar MFAs no fluxo de login dos usuários no Logto:
- Navegue para: Console > Multi-factor auth.
- Habilite os fatores de verificação suportados para seus usuários.
- Fatores primários:
- Authenticator App OTP: O método mais comum e amplamente aceito. Use uma senha única baseada em tempo (TOTP) gerada por um aplicativo autenticador como Google Authenticator ou Authy.
- Passkeys (WebAuthn): Uma opção de alta segurança adequada para produtos web que suportam biometria de dispositivos ou chaves de segurança, etc., garantindo proteção robusta.
- Fatores de backup:
- Códigos de backup: Isso serve como uma opção de backup quando os usuários não conseguem verificar nenhum dos fatores primários mencionados acima. Habilitar esta opção reduz o atrito para o acesso bem-sucedido dos usuários.
- Fatores primários:
- Escolha se deseja habilitar Exigir MFA:
- Habilitar: Os usuários serão solicitados a configurar o MFA durante o processo de login, o que não pode ser ignorado. Se o usuário não configurar o MFA ou excluir suas configurações de MFA, ele será bloqueado de sua conta até configurar o MFA novamente.
- Desabilitar: Os usuários podem pular o processo de configuração do MFA durante o fluxo de inscrição. Eles podem configurar o MFA mais tarde através da sua página de configurações de conta de autoatendimento. Saiba mais sobre como implementar uma página de configurações de conta de usuário. E continue escolhendo a política para o aviso de configuração do MFA:
- Não pedir aos usuários para configurar o MFA: Os usuários não serão solicitados a configurar o MFA durante o login.
- Pedir aos usuários para configurar o MFA durante o registro: Novos usuários serão solicitados a configurar o MFA durante o registro, e os usuários existentes verão o aviso no próximo login. Os usuários podem pular esta etapa, e ela não aparecerá novamente.
- Pedir aos usuários para configurar o MFA no login após o registro: Novos usuários serão solicitados a configurar o MFA no segundo login após o registro, e os usuários existentes verão o aviso no próximo login. Os usuários podem pular esta etapa, e ela não aparecerá novamente.
Fluxo de usuário MFA
Fluxo de configuração de MFA
Uma vez que o MFA está habilitado, os usuários serão solicitados a configurar o MFA durante o processo de login e inscrição. Os usuários podem optar por pular este processo de configuração se e somente se a política "MFA controlado pelo usuário" estiver habilitada.
- Visitar página de login ou inscrição: O usuário navega para a página de login ou inscrição.
- Concluir login ou inscrição: O usuário conclui o processo de verificação de identidade dentro do fluxo de login ou inscrição.
- Configurar fator primário de MFA: O usuário é solicitado a configurar seu fator primário de MFA (seja Authenticator app OTP ou WebAuthn). Se vários fatores primários estiverem habilitados, eles podem escolher sua opção preferida. Se a política "MFA controlado pelo usuário" estiver habilitada, eles também podem pular esta etapa selecionando o botão "Pular".
- Configurar fator de backup de MFA: Se Códigos de backup estiverem habilitados, o usuário será solicitado a configurar códigos de backup após configurar com sucesso seu fator de autenticação primário. Códigos de backup gerados automaticamente serão exibidos para o usuário, que pode baixá-los e armazená-los com segurança. O usuário deve confirmar manualmente os códigos de backup para concluir o processo de configuração do MFA.
Fluxo de verificação de MFA
Usuários que configuraram o MFA serão solicitados a verificar sua identidade usando seus fatores de MFA configurados durante o login. O fator de verificação dependerá da configuração de MFA no Logto e das configurações do usuário.
- Se um usuário configurou apenas um fator, ele o verificará diretamente.
- Se um usuário configurou vários fatores como 2FA, ele precisará escolher um para verificar.
- Se todos os fatores primários habilitados não estiverem disponíveis para o usuário, e o código de backup estiver habilitado, ele poderá usar o código de backup único para verificar sua identidade.
