diff --git a/docs/authorization/api-resources/protect-your-api.mdx b/docs/authorization/api-resources/protect-your-api.mdx index 1e2275ffc9c..aeee93650ea 100644 --- a/docs/authorization/api-resources/protect-your-api.mdx +++ b/docs/authorization/api-resources/protect-your-api.mdx @@ -156,3 +156,17 @@ There are various open-source libraries and packages that can help you to valida ## Reference \{#reference} Logto uses the code-based OAuth 2.0 Authorization Protocol to make your API request safe. If you are interested in the strategy behind it, refer to OAuth 2.0's [specification](https://datatracker.ietf.org/doc/html/rfc6749#section-1.3.1) for more details. + +## FAQs \{#faqs} + +
+ + + +### How to test the client-side, Logto, and server-side interaction without building the client? \{#how-to-test-the-client-side-logto-and-server-side-interaction-without-building-the-client} + + + +You can automate this process without needing to build the client. One option is to use a Personal Access Token (PAT). A PAT allows you to simulate client-side authentication by representing a specific user, with different roles and permissions. This can be used to test your server-side logic, such as access token or JWT validation, without the need for a fully built client. To get started, refer to the [Personal access token](/user-management/personal-access-token). + +
diff --git a/docs/authorization/role-based-access-control/configure-roles.mdx b/docs/authorization/role-based-access-control/configure-roles.mdx index 19420f0a0d2..289b4ed2cf4 100644 --- a/docs/authorization/role-based-access-control/configure-roles.mdx +++ b/docs/authorization/role-based-access-control/configure-roles.mdx @@ -81,6 +81,6 @@ Manage using the Logto Management API. Make a call to the relative end point. Ch | POST | [/api/roles/\{Id\}/scopes](https://openapi.logto.io/operation/operation-createrolescope) | Link a list of API resource scopes (permissions) to a role. The original linked scopes will be kept. | | DELETE | [/api/roles/\{Id\}/scopes/\{scopeId\}](https://openapi.logto.io/operation/operation-deleterolescope) | Unlink an API resource scope (permission) from a role with the given ID. | -# Default roles +## Default roles \{#default-roles} -Default roles are the automatically assigned roles when the users are created, either for the self-sign-up or created through Management API. You can enable this toggle by going to roles-role detail-general. +Default roles are the automatically assigned roles when the users are created, either for the self-sign-up or created through Management API. You can enable this toggle by going to “General” tab on the detail page under Console > Roles. diff --git a/docs/developers/user-impersonation.mdx b/docs/developers/user-impersonation.mdx index 672d3af133d..873e7dc71fa 100644 --- a/docs/developers/user-impersonation.mdx +++ b/docs/developers/user-impersonation.mdx @@ -140,6 +140,12 @@ grant_type=urn:ietf:params:oauth:grant-type:token-exchange The `access_token` returned will be bound to the specified resource, ensuring it can only be used with TechCorp's customer data API. +**Note**: For traditional web applications, include `client credentials` in the header of the token request to prevent a 401 invalid_client error. + +```json +Authorization: Basic ${Buffer.from(${id}:${secret}, 'utf8').toString('base64')} +``` + ## Example usage \{#example-usage} Here's how Sarah might use this in a Node.js support application: diff --git a/docs/end-user-flows/account-settings/by-account-api.mdx b/docs/end-user-flows/account-settings/by-account-api.mdx index ce9968eb57b..2a9e5b40e5b 100644 --- a/docs/end-user-flows/account-settings/by-account-api.mdx +++ b/docs/end-user-flows/account-settings/by-account-api.mdx @@ -25,6 +25,10 @@ Some frequently usage are listed below: To learn more about the APIs that are available, please visit [Logto Account API Reference](https://openapi.logto.io/group/endpoint-my-account) and [Logto Verification API Reference](https://openapi.logto.io/group/endpoint-verifications). +:::note +Dedicated Account APIs for the following settings are coming soon: MFA, SSO, Custom data (user), and Account deletion. In the meantime, you can implement these features using the Logto Management APIs. See [Account settings by Management API](/end-user-flows/account-settings/by-management-api) for more details. +::: + ## How to enable Account API \{#how-to-enable-account-api} By default, the Account API is disabled. To enable it, you need to use the [Management API](/integrate-logto/interact-with-management-api) to update the global settings. diff --git a/docs/end-user-flows/account-settings/by-management-api.mdx b/docs/end-user-flows/account-settings/by-management-api.mdx index 67561c117c2..269c328dbfa 100644 --- a/docs/end-user-flows/account-settings/by-management-api.mdx +++ b/docs/end-user-flows/account-settings/by-management-api.mdx @@ -170,6 +170,17 @@ There a few limitations to consider when linking new social identities to a user Currently, the Management API does not support linking or unlinking enterprise identities to a user. You can only display the enterprise identities linked to a user. +### Personal access token \{#personal-access-token} + +| method | path | description | +| ------ | ------------------------------------------------------------------------------------------------------------------------------------ | --------------------------------------------- | +| GET | [/api/users/\{userId\}/personal-access-tokens](https://openapi.logto.io/operation/operation-listuserpersonalaccesstokens) | Get all personal access tokens for the user. | +| POST | [/api/users/\{userId\}/personal-access-tokens](https://openapi.logto.io/operation/operation-createuserpersonalaccesstoken) | Add a new personal access token for the user. | +| DELETE | [/api/users/\{userId\}/personal-access-tokens/\{name\}](https://openapi.logto.io/operation/operation-deleteuserpersonalaccesstoken) | Delete a token for the user by name. | +| PATCH | [/api/users/\{userId\s}/personal-access-tokens/\{name\}](https://openapi.logto.io/operation/operation-updateuserpersonalaccesstoken) | Update a token for the user by name. | + +Personal access tokens provide a secure way for users to grant [access token](https://auth.wiki/access-token) without using their credentials and interactive sign-in. Learn more about [using personal access tokens](/user-management/personal-access-token). + ### User MFA settings management \{#user-mfa-settings-management} | method | path | description | diff --git a/docs/end-user-flows/enterprise-sso/sp-initiated-sso.mdx b/docs/end-user-flows/enterprise-sso/sp-initiated-sso.mdx index 96c5e375001..0f3ac09d1a2 100644 --- a/docs/end-user-flows/enterprise-sso/sp-initiated-sso.mdx +++ b/docs/end-user-flows/enterprise-sso/sp-initiated-sso.mdx @@ -72,3 +72,24 @@ Different enterprise clients use different identity providers to manage their em However, if you are developing a B2E product and want to show a button for a specific enterprise client, you can create a custom login page and use `directSignIn:sso` to route the button appropriately. Learn more about the [direct sign-in parameter](/end-user-flows/authentication-parameters/direct-sign-in/). + +
+ + + +### How to enable SSO-only sign-in and registration? \{#how-to-enable-sso-only-sign-in-and-registration} + + + +To enable SSO-Only Sign-in and registration, follow these steps: + +1. Configure in Console > Sign-in experience > Sign-in and sign-in + - Sign up: Not applicable + - Sign in: None + - Social sign-in: None + - Enterprise SSO: Enabled + - User registration: Disabled +2. Manually add users by entering their enterprise email address in Console > User management or import via [Management API](https://openapi.logto.io/operation/operation-createuser). +3. When users sign in via SSO for the first time, Logto will [auto-link](/end-user-flows/enterprise-sso/enterprise-sso-identity#enterprise-sso-account-linking) their existing email address to their SSO account. + +
diff --git a/docs/end-user-flows/mfa/configure-mfa.mdx b/docs/end-user-flows/mfa/configure-mfa.mdx index a9f9072a413..5b1b437f4f4 100644 --- a/docs/end-user-flows/mfa/configure-mfa.mdx +++ b/docs/end-user-flows/mfa/configure-mfa.mdx @@ -24,6 +24,10 @@ Follow these steps to enable MFAs in users’ Logto sign-in flow: ![MFA settings](./assets/configure-mfa.png) +:::note +For products with a multi-tenant architecture that support [Organizations](/organizations), you probably don’t need to require MFA for all users. Instead, MFA can be enabled on a per-organization basis, allowing you to tailor the requirements based on each client’s needs. To get started, refer to [Requiring MFA for organization members](/organizations/organization-management#require-mfa-for-organization-members). +::: + ## MFA user flow \{#mfa-user-flow} ### MFA set-up flow \{#mfa-set-up-flow} diff --git a/docs/integrate-logto/README.mdx b/docs/integrate-logto/README.mdx index de262671a72..be3fdaba773 100644 --- a/docs/integrate-logto/README.mdx +++ b/docs/integrate-logto/README.mdx @@ -1,9 +1,14 @@ +--- +description: Easily integrate authentication into your applications, service as IdP to authorize OAuth apps, and utilize auth APIs, all with federated identity. +sidebar_label: Integrate Logto +--- + import CloudConnectionIcon from '@site/src/assets/cloud-connection.svg'; import GuidesIcon from '@site/src/assets/guides.svg'; import IntegrateIcon from '@site/src/assets/integrate.svg'; import ProtectedAppIcon from '@site/src/assets/protected-app.svg'; -# Integrate Logto +# Integrate Logto authentication Logto provides comprehensive authentication solutions for web, mobile and desktop applications, supports [Machine-to-Machine (M2M)](/quick-starts/m2m) authentication between services, and can serve as an Identity Provider (IdP) for [third-party applications](/integrate-logto/third-party-applications) through standard protocols like [OpenID Connect(OIDC)](https://auth.wiki/openid-connect) and [OAuth 2.0](https://auth.wiki/oauth-2.0). diff --git a/docs/integrate-logto/application-data-structure.mdx b/docs/integrate-logto/application-data-structure.mdx index 949df5aaec9..2c7df0bc7a2 100644 --- a/docs/integrate-logto/application-data-structure.mdx +++ b/docs/integrate-logto/application-data-structure.mdx @@ -1,4 +1,5 @@ --- +description: Refer to key application parameters for OIDC authentication integration, including redirect URIs, endpoints, refresh tokens, backchannel logout, etc. sidebar_position: 5 --- diff --git a/docs/integrate-logto/integrate-logto-into-your-application/README.mdx b/docs/integrate-logto/integrate-logto-into-your-application/README.mdx index ff8077b8ac6..d41254c1842 100644 --- a/docs/integrate-logto/integrate-logto-into-your-application/README.mdx +++ b/docs/integrate-logto/integrate-logto-into-your-application/README.mdx @@ -1,4 +1,5 @@ --- +description: Integrate application authentication and identity federation in minutes with our quickstart guides. sidebar_position: 1 --- diff --git a/docs/integrate-logto/integrate-logto-into-your-application/understand-authentication-flow.mdx b/docs/integrate-logto/integrate-logto-into-your-application/understand-authentication-flow.mdx index ae859f215ec..da3d252bb37 100644 --- a/docs/integrate-logto/integrate-logto-into-your-application/understand-authentication-flow.mdx +++ b/docs/integrate-logto/integrate-logto-into-your-application/understand-authentication-flow.mdx @@ -1,4 +1,9 @@ -# Understand authentication flow +--- +description: Explain the core OIDC authentication flows for human users and machine-to-machine interactions, highlighting token exchange. +sidebar_label: Understand authentication flow +--- + +# Understand OIDC authentication flow Logto is built on [OAuth 2.0](https://auth.wiki/oauth-2.0) and [OpenID Connect (OIDC)](https://auth.wiki/openid-connect) standards. Understanding these authentication standards will make the integration process smoother and more straightforward. diff --git a/docs/integrate-logto/interact-with-management-api/README.md b/docs/integrate-logto/interact-with-management-api/README.md index 7709337b49c..41927d558b3 100644 --- a/docs/integrate-logto/interact-with-management-api/README.md +++ b/docs/integrate-logto/interact-with-management-api/README.md @@ -1,4 +1,5 @@ --- +description: Utilize Management APIs to access Logto’s backend services, scaling your CIAM system with user management, account settings, identity verification, and multi-tenant architecture. sidebar_position: 4 --- diff --git a/docs/integrate-logto/protected-app.mdx b/docs/integrate-logto/protected-app.mdx index 19202737ae1..5a9fb3a27a7 100644 --- a/docs/integrate-logto/protected-app.mdx +++ b/docs/integrate-logto/protected-app.mdx @@ -1,8 +1,10 @@ --- +description: Easily add no-code authentication to your web apps with Logto’s innovative Protected App, powered by Cloudflare. Supports HTTP Basic Authentication and JWT validation. +sidebar_label: Protected App sidebar_position: 2 --- -# Protected App +# Protected App — Non-SDK authentication integration The Protected App is designed to eliminate the complexity of [SDK integrations](/quick-starts) by separating the [authentication](https://auth.wiki/authentication) layer from your application. We handle the authentication, allowing you to focus on your core functionality. Once a user is authenticated, the Protected App serves the content from your server. diff --git a/docs/integrate-logto/third-party-applications/README.mdx b/docs/integrate-logto/third-party-applications/README.mdx index d9beb7ebed6..385e139391d 100644 --- a/docs/integrate-logto/third-party-applications/README.mdx +++ b/docs/integrate-logto/third-party-applications/README.mdx @@ -1,4 +1,5 @@ --- +description: Use Logto to create your own Identity Provider and enable SSO for third-party applications. Effortlessly integrate OIDC, OAuth, or SAML application. sidebar_position: 3 --- diff --git a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/README.mdx b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/README.mdx index c49054b978e..910275cb529 100644 --- a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/README.mdx +++ b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/README.mdx @@ -1,3 +1,7 @@ +--- +description: Integrate third-party OIDC / OAuth applications and provide OAuth authorization with a consent screen. +--- + import AuthorizationIcon from '@site/src/assets/authorization.svg'; import CustomizationIcon from '@site/src/assets/customization.svg'; diff --git a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/consent-screen-branding.mdx b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/consent-screen-branding.mdx index 11acec4170c..22eceb50953 100644 --- a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/consent-screen-branding.mdx +++ b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/consent-screen-branding.mdx @@ -1,10 +1,12 @@ --- +description: Customize app branding, terms, and privacy displayed on the OAuth consent screen to build user trust and improve authorization. +sidebar_label: Consent screen branding sidebar_position: 2 --- import ConsentScreenBranding from './assets/consent-screen-branding.webp'; -# Consent screen branding +# Custom consent screen branding It is important to ensure the third-party's branding information and terms link is properly displayed to the users when they are redirected to the third-party application's consent screen. diff --git a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/permission-management.mdx b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/permission-management.mdx index 50b29e09c53..390e6a79432 100644 --- a/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/permission-management.mdx +++ b/docs/integrate-logto/third-party-applications/oidc-oauth-third-party-applications/permission-management.mdx @@ -1,11 +1,13 @@ --- +description: Choose app authorization scopes (permissions) and ensure they are clearly shown on the OAuth consent screen. +sidebar_label: Permission management sidebar_position: 1 --- import GrantPermissionsOfOrganizationData from './assets/grant-permissions-of-organization-data.webp'; import GrantPermissionsOfUserData from './assets/grant-permissions-of-user-data.webp'; -# Permission management +# Permission management of the OIDC / OAuth application Third-party applications, not owned by your service, are integrated with Logto as identity providers to authenticate users. These apps, typically from external service providers, require careful permission management to protect user data. diff --git a/docs/introduction/README.mdx b/docs/introduction/README.mdx index 3a2f7216111..1e7db73c70b 100644 --- a/docs/introduction/README.mdx +++ b/docs/introduction/README.mdx @@ -1,3 +1,7 @@ +--- +description: Quickly launch your identity and access management system by integrating Logto. Enjoy authentication, authorization, and multi-tenant management all in one. +--- + import AuditLogIcon from '@site/src/assets/audit-log.svg'; import AuthorizationIcon from '@site/src/assets/authorization.svg'; import CloudIcon from '@site/src/assets/cloud.svg'; diff --git a/docs/introduction/plan-your-architecture/README.mdx b/docs/introduction/plan-your-architecture/README.mdx index 42f4d2fdd1f..6b9d3675511 100644 --- a/docs/introduction/plan-your-architecture/README.mdx +++ b/docs/introduction/plan-your-architecture/README.mdx @@ -1,4 +1,5 @@ --- +description: Design your identity system architecture by evaluating single-tenant, multi-tenant, and multi-application options. sidebar_position: 3 --- diff --git a/docs/introduction/plan-your-architecture/b2b.mdx b/docs/introduction/plan-your-architecture/b2b.mdx index a382d96eb89..6c0bdf45254 100644 --- a/docs/introduction/plan-your-architecture/b2b.mdx +++ b/docs/introduction/plan-your-architecture/b2b.mdx @@ -1,4 +1,6 @@ --- +description: Discover how to create a scalable multi-tenant identity system for B2B software with all AuthN and AuthZ features. +sidebar_label: B2B architecture sidebar_position: 2 --- @@ -9,7 +11,7 @@ import GenericFeatures from './_generic-features.mdx'; import RelatedResource from './_related-resource.mdx'; import ImageB2b from './assets/b2b.svg'; -# B2B architecture +# Multi-tenant architecture for B2B services ## Architecture \{#architecture} diff --git a/docs/introduction/plan-your-architecture/b2c.mdx b/docs/introduction/plan-your-architecture/b2c.mdx index a0c2082a293..ef060f0a958 100644 --- a/docs/introduction/plan-your-architecture/b2c.mdx +++ b/docs/introduction/plan-your-architecture/b2c.mdx @@ -1,4 +1,6 @@ --- +description: Discover how to create a highly secure customer identity system with all essential AuthN and AuthO features. +sidebar_label: B2C architecture sidebar_position: 1 --- @@ -6,7 +8,7 @@ import GenericFeatures from './_generic-features.mdx'; import RelatedResource from './_related-resource.mdx'; import ImageB2c from './assets/b2c.svg'; -# B2C architecture +# Single-tenant architecure for B2C services ## Architecture \{#architecture} diff --git a/docs/introduction/set-up-logto-cloud.mdx b/docs/introduction/set-up-logto-cloud.mdx index a89c2b1ce93..c48c1bee710 100644 --- a/docs/introduction/set-up-logto-cloud.mdx +++ b/docs/introduction/set-up-logto-cloud.mdx @@ -1,5 +1,5 @@ --- -description: This section covers basic setup steps and key actions to effectively deliver your product and manage your development workflow. +description: Basic steps to initiate Logto Cloud Service as your OAuth 2, OIDC, and SAML provider. sidebar_position: 1 --- diff --git a/docs/introduction/set-up-logto-oss.mdx b/docs/introduction/set-up-logto-oss.mdx index c3c0305fe03..52b68139aae 100644 --- a/docs/introduction/set-up-logto-oss.mdx +++ b/docs/introduction/set-up-logto-oss.mdx @@ -1,5 +1,5 @@ --- -description: This section covers basic setup steps and key actions to effectively deliver your product and manage your development workflow for Logto open-source service (OSS). +description: Basic steps to configure Logto open-source and implement your identity system. sidebar_position: 2 --- diff --git a/docs/logto-cloud/billing-and-pricing.mdx b/docs/logto-cloud/billing-and-pricing.mdx index b52c059c41e..e83ba4bada7 100644 --- a/docs/logto-cloud/billing-and-pricing.mdx +++ b/docs/logto-cloud/billing-and-pricing.mdx @@ -120,3 +120,17 @@ If you choose to stop using the Pro plan, you can switch to the Free plan, but y ## Future pricing plan change \{#future-pricing-plan-change} To provide you with a stable and predictable billing experience, we will grandfather your current plan whenever pricing changes occur. + +## FAQs \{#faqs} + +
+ + + +### What is the connection between token consumption and MAU? \{#what-is-the-connection-between-token-consumption-and-mau} + + + +Logto uses token-based authentication. A single-user sign-in one time might involve consuming two or three tokens: ID token, Access token, and Refresh token. If you use features like M2M or Organization, additional tokens, such as M2M tokens or Organization tokens, may also be involved. Token consumption depends on how users interact with your system. To help you track this, we offer real-time token usage monitoring in the Console > Dashboard. Here is an example: our free plan offers 100k tokens for free, which can support up to 50k MAU (Monthly Active Users). + +
diff --git a/docs/organizations/organization-data.mdx b/docs/organizations/organization-data.mdx index 162f74c4038..843dad5ab06 100644 --- a/docs/organizations/organization-data.mdx +++ b/docs/organizations/organization-data.mdx @@ -27,3 +27,17 @@ See [organization-specific logos](/customization/match-your-brand/#organization- ## Custom data \{#custom-data} _Custom data_ is a JSON object used to store extra information about the organization. It gives developers flexibility to store additional organization details for development purposes. + +## Is MFA required \{#is-mfa-required} + +_isMfaRequired_ indicates whether Multi-Factor Authentication (MFA) is mandatory for the organization. If set to `true`, all members must bypass MFA during sign-in to access the organization. This security policy setting is configured at the organization level. + +See [Manage organization](/organizations/organization-management#require-mfa-for-organization-members) for more details. + +## Created at \{#created-at} + +_createdAt_ is the timestamp with the timezone when the organization was created. + +## Tenant ID \{#tenant-id} + +_tenantId_ identifies the tenant that the organization belongs to. diff --git a/docs/quick-starts/fragments/_scope-claim-list.md b/docs/quick-starts/fragments/_scope-claim-list.md index 74c34bc32be..66b841b21a3 100644 --- a/docs/quick-starts/fragments/_scope-claim-list.md +++ b/docs/quick-starts/fragments/_scope-claim-list.md @@ -53,6 +53,12 @@ Please refer to the [OpenID Connect Core 1.0](https://openid.net/specs/openid-co | identities | `object` | The linked identities of the user | Yes | | sso_identities | `array` | The linked SSO identities of the user | Yes | +**`roles`** + +| Claim name | Type | Description | Needs userinfo? | +| ---------- | ---------- | --------------------- | --------------- | +| roles | `string[]` | The roles of the user | No | + **`urn:logto:scope:organizations`** | Claim name | Type | Description | Needs userinfo? | diff --git a/docs/user-management/manage-users.mdx b/docs/user-management/manage-users.mdx index 06d647779ea..8ff26fac2a9 100644 --- a/docs/user-management/manage-users.mdx +++ b/docs/user-management/manage-users.mdx @@ -82,3 +82,17 @@ Logto supports [organizations](/organizations/organization-management) and can m The user-related [RESTful](https://en.wikipedia.org/wiki/Representational_state_transfer) APIs are mounted at `/api/users` except for the user activities, i.e., user logs `/api/logs?userId=:userId`. You can manage users through the Management API in several use cases. Such as [advanced user search](/user-management/advanced-user-search), [bulk creation accounts](https://openapi.logto.io/operation/operation-createuser), [invitation-only sign-up](/end-user-flows/sign-up-and-sign-in/disable-user-registration), etc. + +## FAQs \{#faqs} + +
+ + + +### How to restrict access to certain applications for specific users? \{#how-to-restrict-access-to-certain-application-for-specific-users} + + + +You can assign different roles and permissions to users. In each application, validate user roles and restrict access as needed. Refer to Authorization: [Role-based access control](/authorization/role-based-access-control). + +
diff --git a/docs/user-management/user-data.mdx b/docs/user-management/user-data.mdx index 6edb94ed730..e07a8608c87 100644 --- a/docs/user-management/user-data.mdx +++ b/docs/user-management/user-data.mdx @@ -1,6 +1,9 @@ +/** eslint-disable no-irregular-whitespace \*/ +/** eslint-disable no-irregular-whitespace \*/ + --- -sidebar_position: 1 ---- + +## sidebar_position: 1 # User data structure @@ -138,6 +141,18 @@ The value of _application_id_ is from the application the user first signed in t _last_signed_in_at_ is the timestamp with the timezone when the user signed in last time. +### created_at \{#created_at} + +_created_at_ is the timestamp with the timezone when the user registered the account. + +### updated_at \{#updated_at} + +_updated_at_ is the timestamp with the timezone when the user's profile information was last updated. + +### has_password \{#has_password} + +_has_password_ is a boolean value that indicates whether the user has a password. You can view and manage this status, including setting a new or resetting the password on the detail page of Console > User management. + ### password_encrypted \{#password_encrypted} _password_encrypted_ is used to store the user's encrypted password. @@ -165,28 +180,13 @@ _is_suspended_ is a boolean value that indicates whether a user is suspended or Once a user is suspended the pre-granted refresh tokens will be revoked immediately and the user won't be able to get authenticated by Logto anymore. -## Property reference \{#property-reference} - -The following properties (except _password_encrypted_ and _password_encryption_method_) are visible on the user profile, which means you can query them using [Management API](https://openapi.logto.io/operation/operation-getuser). +### mfa_verification_factors \{#mfa_verification_factors} -| Name | Type | Description | Unique | Required | -| ----------------------------------------------------------------------------------- | --------- | --------------------------------------------- | ------ | -------- | -| [id](/user-management/user-data#id) | string | Unique identifier | ✅ | ✅ | -| [username](/user-management/user-data#username) | string | Username for sign-in | ✅ | ❌ | -| [primary_email](/user-management/user-data#primary_email) | string | Primary email | ✅ | ❌ | -| [primary_phone](/user-management/user-data#primary_phone) | string | Primary phone number | ✅ | ❌ | -| [name](/user-management/user-data#name) | string | Full name | ❌ | ❌ | -| [avatar](/user-management/user-data#avatar) | string | URL pointing to user's avatar image | ❌ | ❌ | -| [identities](/user-management/user-data#social-identities) | object | User info retrieved from social sign-in | ❌ | ✅ | -| [custom_data](/user-management/user-data#custom-data) | object | Additional info in customizable properties | ❌ | ✅ | -| [application_id](/user-management/user-data#application_id) | string | Application ID that the user first registered | ❌ | ✅ | -| [last_sign_in_at](/user-management/user-data#last_signed_in_at) | date time | Timestamp when the user signed in last time | ❌ | ✅ | -| [password_encrypted](/user-management/user-data#password_encrypted) | string | Encrypted password | ❌ | ❌ | -| [password_encryption_method](/user-management/user-data#password_encryption_method) | string | Password encryption method | ❌ | ❌ | -| [is_suspended](/user-management/user-data#is_suspended) | bool | User suspend mark | ❌ | ✅ | +_mfa_verification_factors_ is an array that lists the [multi-factor authentication](/end-user-flows/mfa) (MFA) methods associated with the user’s account. The possible values include: _Totp_ (Authenticator app OTP), _WebAuthn_ (Passkey), and _BackupCode_. -- **Unique**: Ensures the [uniqueness](https://www.postgresql.org/docs/current/ddl-constraints.html#DDL-CONSTRAINTS-UNIQUE-CONSTRAINTS) of the values entered into a property of a database table. -- **Required**: Ensures that the values entered a property of a database table can NOT be `null`. +```tsx + mfaVerificationFactors: ("Totp" | "WebAuthn" | "BackupCode")[]; +``` ## Social identities \{#social-identities} @@ -227,6 +227,22 @@ Sample _identities_ from a user who signed in with both Google and Facebook: } ``` +## SSO identities \{#sso-identities} + +_sso_identities_ contains the user info retrieved from [Enterprise SSO](/end-user-flows/enterprise-sso) (i.e., Single Sign-On login with an enterprise connector](/connectors/enterprise-connectors)). Each user's _ssoIdentities_ is stored in an individual JSON object. + +The data synced from the SSO identity provider depends the scopes configured in the enterprise connector to request. Here's a copy of the type definition: + +```tsx + ssoIdentities: { + issuer: string; + identityId: string; + detail: { + [x: string]: Record; + }; + }[]; +``` + ## Custom data \{#custom-data} _custom_data_ stores additional user info not listed in the pre-defined user properties. @@ -291,6 +307,82 @@ then new _custom_data_ value after updating should be: That is, the updated field value has nothing to do with the previous value. +## Roles \{#roles} + +_roles_ is an array of roles assigned to the user for [role-based access control](/authorization/role-based-access-control) (RBAC). A user can have one or more roles, with each role stored as an individual JSON object. Each role typically includes basic role information, and the [API resources](/authorization/api-resources) and [scopes (permissions)](/authorization/role-based-access-control/configure-permissions) the user can access. Here’s a copy of the type definition: + +```tsx +roles: { + id: string; + name: string; + description: string; + scopes: { + id: string; + name: string; + description: string | null; + resourceId: string; + resource: { + tenantId: string; + id: string; + name: string; + indicator: string; + isDefault: boolean; + accessTokenTtl: number; + } + } + []; +} +[]; +``` + +## Organizations \{#organizations} + +_organizations_, used in a multi-tenant architecture, is an array of [organizations](/organizations) that the user is a member of. Each organization is represented as an individual JSON object. + +```tsx + organizations: { + id: string; + name: string; + description: string | null; + }[ +``` + +## Organization roles \{#organization-roles} + +_organization_roles_ is an array of roles assigned to the user at the organization level (distinct from _roles_ in identity system). This organization roles are defined in the [Logto organization templates](/authorization/organization-template). Each organization role is stored in an individual JSON object, which include the organization ID, role ID, and role name. + +```tsx +organizationRoles: { + organizationId: string; + roleId: string; + roleName: string; +} +[]; +``` + +## Property reference \{#property-reference} + +The following properties (except _password_encrypted_ and _password_encryption_method_) are visible on the user profile, which means you can query them using [Management API](https://openapi.logto.io/operation/operation-getuser). + +| Name | Type | Description | Unique | Required | +| ----------------------------------------------------------------------------------- | --------- | --------------------------------------------- | ------ | -------- | +| [id](/user-management/user-data#id) | string | Unique identifier | ✅ | ✅ | +| [username](/user-management/user-data#username) | string | Username for sign-in | ✅ | ❌ | +| [primary_email](/user-management/user-data#primary_email) | string | Primary email | ✅ | ❌ | +| [primary_phone](/user-management/user-data#primary_phone) | string | Primary phone number | ✅ | ❌ | +| [name](/user-management/user-data#name) | string | Full name | ❌ | ❌ | +| [avatar](/user-management/user-data#avatar) | string | URL pointing to user's avatar image | ❌ | ❌ | +| [identities](/user-management/user-data#social-identities) | object | User info retrieved from social sign-in | ❌ | ✅ | +| [custom_data](/user-management/user-data#custom-data) | object | Additional info in customizable properties | ❌ | ✅ | +| [application_id](/user-management/user-data#application_id) | string | Application ID that the user first registered | ❌ | ✅ | +| [last_sign_in_at](/user-management/user-data#last_signed_in_at) | date time | Timestamp when the user signed in last time | ❌ | ✅ | +| [password_encrypted](/user-management/user-data#password_encrypted) | string | Encrypted password | ❌ | ❌ | +| [password_encryption_method](/user-management/user-data#password_encryption_method) | string | Password encryption method | ❌ | ❌ | +| [is_suspended](/user-management/user-data#is_suspended) | bool | User suspend mark | ❌ | ✅ | + +- **Unique**: Ensures the [uniqueness](https://www.postgresql.org/docs/current/ddl-constraints.html#DDL-CONSTRAINTS-UNIQUE-CONSTRAINTS) of the values entered into a property of a database table. +- **Required**: Ensures that the values entered a property of a database table can NOT be `null`. + ## Related resources \{#related-resources} Secure hub for user data on move diff --git a/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/account-settings/by-account-api.mdx b/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/account-settings/by-account-api.mdx index 9ea1b38d5aa..0fa0af13bed 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/account-settings/by-account-api.mdx +++ b/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/account-settings/by-account-api.mdx @@ -1,5 +1,5 @@ --- -description: Erfahre, wie du die Account API zur Verwaltung von Benutzern nutzt +description: Erfahren Sie, wie Sie die Account API zur Verwaltung von Benutzern verwenden sidebar_position: 2 --- @@ -7,29 +7,33 @@ sidebar_position: 2 ## Was ist die Logto Account API \{#what-is-logto-account-api} -Die Logto Account API ist eine umfassende Sammlung von APIs, die den Endbenutzern direkten API-Zugriff ermöglicht, ohne die Management API durchlaufen zu müssen. Hier sind die Highlights: +Die Logto Account API ist eine umfassende Sammlung von APIs, die den Endbenutzern direkten API-Zugang ermöglicht, ohne die Management API durchlaufen zu müssen. Hier sind die Highlights: -- Direkter Zugriff: Die Account API ermöglicht es Endbenutzern, direkt auf ihr eigenes Konto zuzugreifen und es zu verwalten, ohne die Weiterleitung der Management API zu benötigen. -- Benutzerprofil- und Identitätsverwaltung: Benutzer können ihre Profile und Sicherheitseinstellungen vollständig verwalten, einschließlich der Möglichkeit, Identitätsinformationen wie E-Mail, Telefon und Passwort zu aktualisieren sowie soziale Verbindungen zu verwalten. MFA und SSO-Unterstützung kommen bald. -- Globale Zugriffskontrolle: Der Administrator hat vollständige, globale Kontrolle über die Zugriffseinstellungen und kann jedes Feld anpassen. -- Nahtlose Autorisierung: Die Autorisierung ist einfacher denn je! Verwende einfach `client.getAccessToken()`, um ein opakes Zugangstoken für OP (Logto) zu erhalten, und füge es dem Authorization-Header als `Bearer ` hinzu. +- Direkter Zugang: Die Account API ermöglicht es Endbenutzern, direkt auf ihr eigenes Konto zuzugreifen und es zu verwalten, ohne die Weiterleitung über die Management API. +- Verwaltung von Benutzerprofilen und Identitäten: Benutzer können ihre Profile und Sicherheitseinstellungen vollständig verwalten, einschließlich der Möglichkeit, Identitätsinformationen wie E-Mail, Telefon und Passwort zu aktualisieren sowie soziale Verbindungen zu verwalten. MFA und SSO-Unterstützung kommen bald. +- Globale Zugangskontrolle: Der Administrator hat volle, globale Kontrolle über die Zugangseinstellungen und kann jedes Feld anpassen. +- Nahtlose Autorisierung: Die Autorisierung ist einfacher denn je! Verwenden Sie einfach `client.getAccessToken()`, um ein opakes Zugangstoken für OP (Logto) zu erhalten, und fügen Sie es dem Authorization-Header als `Bearer ` hinzu. -Mit der Logto Account API kannst du ein benutzerdefiniertes Kontoverwaltungssystem wie eine Profilseite erstellen, die vollständig in Logto integriert ist. +Mit der Logto Account API können Sie ein benutzerdefiniertes Kontoverwaltungssystem wie eine Profilseite erstellen, die vollständig in Logto integriert ist. -Einige häufige Anwendungen sind unten aufgeführt: +Einige häufige Verwendungen sind unten aufgeführt: - Benutzerprofil abrufen - Benutzerprofil aktualisieren - Benutzerpasswort aktualisieren -- Benutzeridentitäten einschließlich E-Mail, Telefon und sozialer Verbindungen aktualisieren +- Benutzeridentitäten aktualisieren, einschließlich E-Mail, Telefon und sozialer Verbindungen -Um mehr über die verfügbaren APIs zu erfahren, besuche bitte die [Logto Account API Referenz](https://openapi.logto.io/group/endpoint-my-account) und die [Logto Verification API Referenz](https://openapi.logto.io/group/endpoint-verifications). +Um mehr über die verfügbaren APIs zu erfahren, besuchen Sie bitte die [Logto Account API Referenz](https://openapi.logto.io/group/endpoint-my-account) und die [Logto Verification API Referenz](https://openapi.logto.io/group/endpoint-verifications). + +:::note +Spezielle Account APIs für die folgenden Einstellungen kommen bald: MFA, SSO, Benutzerdefinierte Daten (Benutzer) und Kontolöschung. In der Zwischenzeit können Sie diese Funktionen mit den Logto Management APIs implementieren. Siehe [Kontoeinstellungen über die Management API](/end-user-flows/account-settings/by-management-api) für weitere Details. +::: ## Wie man die Account API aktiviert \{#how-to-enable-account-api} -Standardmäßig ist die Account API deaktiviert. Um sie zu aktivieren, musst du die [Management API](/integrate-logto/interact-with-management-api) verwenden, um die globalen Einstellungen zu aktualisieren. +Standardmäßig ist die Account API deaktiviert. Um sie zu aktivieren, müssen Sie die [Management API](/integrate-logto/interact-with-management-api) verwenden, um die globalen Einstellungen zu aktualisieren. -Der API-Endpunkt `/api/account-center` kann verwendet werden, um die Einstellungen des Account Centers abzurufen und zu aktualisieren. Du kannst ihn verwenden, um die Account API zu aktivieren oder zu deaktivieren und die Felder anzupassen. +Der API-Endpunkt `/api/account-center` kann verwendet werden, um die Einstellungen des Account Centers abzurufen und zu aktualisieren. Sie können ihn verwenden, um die Account API zu aktivieren oder zu deaktivieren und die Felder anzupassen. Beispielanfrage: @@ -45,25 +49,25 @@ Das `enabled`-Feld wird verwendet, um die Account API zu aktivieren oder zu deak - `name`: Das Namensfeld. - `avatar`: Das Avatar-Feld. - `profile`: Das Profilfeld, einschließlich seiner Unterfelder. -- `username`: Das Benutzername-Feld. +- `username`: Das Benutzernamenfeld. - `email`: Das E-Mail-Feld. - `phone`: Das Telefonfeld. - `password`: Das Passwortfeld, beim Abrufen wird `true` zurückgegeben, wenn der Benutzer ein Passwort gesetzt hat, andernfalls `false`. - `social`: Soziale Verbindungen. -Erfahre mehr über die API-Details in der [Logto Management API Referenz](https://openapi.logto.io/group/endpoint-account-center). +Erfahren Sie mehr über die API-Details in der [Logto Management API Referenz](https://openapi.logto.io/group/endpoint-account-center). ## Wie man auf die Account API zugreift \{#how-to-access-account-api} ### Ein Zugangstoken abrufen \{#fetch-an-access-token} -Nachdem du das SDK in deiner Anwendung eingerichtet hast, kannst du die Methode `client.getAccessToken()` verwenden, um ein Zugangstoken abzurufen. Dieses Token ist ein opakes Token, das zum Zugriff auf die Account API verwendet werden kann. +Nachdem Sie das SDK in Ihrer Anwendung eingerichtet haben, können Sie die Methode `client.getAccessToken()` verwenden, um ein Zugangstoken abzurufen. Dieses Token ist ein opakes Token, das zum Zugriff auf die Account API verwendet werden kann. -Wenn du das offizielle SDK nicht verwendest, solltest du das `resource` für die Zugangstoken-Anfrage an `/oidc/token` leer lassen. +Wenn Sie das offizielle SDK nicht verwenden, sollten Sie das `resource` für die Zugangstoken-Anfrage an `/oidc/token` leer lassen. ### Zugriff auf die Account API mit Zugangstoken \{#access-account-api-using-access-token} -Du solltest das Zugangstoken im `Authorization`-Feld der HTTP-Header im Bearer-Format (`Bearer YOUR_TOKEN`) platzieren, wenn du mit der Account API interagierst. +Sie sollten das Zugangstoken im `Authorization`-Feld der HTTP-Header im Bearer-Format (`Bearer YOUR_TOKEN`) platzieren, wenn Sie mit der Account API interagieren. Ein Beispiel, um die Benutzerkontoinformationen abzurufen: @@ -72,7 +76,7 @@ curl https://[tenant-id].logto.app/api/my-account \ -H 'authorization: Bearer ' ``` -## Grundlegende Kontoinformationen verwalten \{#manage-basic-account-information} +## Verwaltung grundlegender Kontoinformationen \{#manage-basic-account-information} ### Benutzerkontoinformationen abrufen \{#retrieve-user-account-information} @@ -98,7 +102,7 @@ Die Antwortfelder können je nach den Einstellungen des Account Centers variiere Grundlegende Kontoinformationen umfassen den Benutzernamen, den Namen, das Avatar und das Profil. -Um Benutzernamen, Namen und Avatar zu aktualisieren, kannst du den Endpunkt `PATCH /api/my-account` verwenden. +Um Benutzernamen, Namen und Avatar zu aktualisieren, können Sie den Endpunkt `PATCH /api/my-account` verwenden. ```bash curl -X PATCH https://[tenant-id].logto.app/api/my-account \ @@ -107,7 +111,7 @@ curl -X PATCH https://[tenant-id].logto.app/api/my-account \ --data-raw '{"username":"...","name":"...","avatar":"..."}' ``` -Um das Profil zu aktualisieren, kannst du den Endpunkt `PATCH /api/my-account/profile` verwenden. +Um das Profil zu aktualisieren, können Sie den Endpunkt `PATCH /api/my-account/profile` verwenden. ```bash curl -X PATCH https://[tenant-id].logto.app/api/my-account/profile \ @@ -116,15 +120,15 @@ curl -X PATCH https://[tenant-id].logto.app/api/my-account/profile \ --data-raw '{"familyName":"...","givenName":"..."}' ``` -## Identifikatoren und andere sensible Informationen verwalten \{#manage-identifiers-and-other-sensitive-information} +## Verwaltung von Identifikatoren und anderen sensiblen Informationen \{#manage-identifiers-and-other-sensitive-information} Aus Sicherheitsgründen erfordert die Account API eine weitere Autorisierungsebene für die Vorgänge, die Identifikatoren und andere sensible Informationen betreffen. ### Eine Verifizierungsdatensatz-ID erhalten \{#get-a-verification-record-id} -Zuerst musst du eine Verifizierungsdatensatz-ID erhalten, die verwendet werden kann, um die Identität des Benutzers beim Aktualisieren von Identifikatoren zu überprüfen. +Zuerst müssen Sie eine Verifizierungsdatensatz-ID erhalten, die verwendet werden kann, um die Identität des Benutzers beim Aktualisieren von Identifikatoren zu überprüfen. -Um eine Verifizierungsdatensatz-ID zu erhalten, kannst du das Passwort des Benutzers überprüfen oder einen Verifizierungscode an die E-Mail oder das Telefon des Benutzers senden. +Um eine Verifizierungsdatensatz-ID zu erhalten, können Sie das Passwort des Benutzers überprüfen oder einen Verifizierungscode an die E-Mail oder das Telefon des Benutzers senden. #### Das Passwort des Benutzers überprüfen \{#verify-the-users-password} @@ -147,10 +151,10 @@ Der Antwortkörper könnte folgendermaßen aussehen: #### Überprüfung durch Senden eines Verifizierungscodes an die E-Mail oder das Telefon des Benutzers \{#verify-by-sending-a-verification-code-to-the-users-email-or-phone} :::note -Um diese Methode zu verwenden, musst du den [E-Mail-Connector](/connectors/email-connectors/) oder [SMS-Connector](/connectors/sms-connectors/) konfigurieren und sicherstellen, dass die `UserPermissionValidation`-Vorlage konfiguriert ist. +Um diese Methode zu verwenden, müssen Sie den [E-Mail-Connector konfigurieren](/connectors/email-connectors/) oder den [SMS-Connector konfigurieren](/connectors/sms-connectors/), und sicherstellen, dass die `UserPermissionValidation`-Vorlage konfiguriert ist. ::: -Nehmen wir E-Mail als Beispiel, fordere einen neuen Verifizierungscode an und erhalte die Verifizierungsdatensatz-ID: +Nehmen wir E-Mail als Beispiel, fordern Sie einen neuen Verifizierungscode an und erhalten Sie die Verifizierungsdatensatz-ID: ```bash curl -X POST https://[tenant-id].logto.app/api/verifications/verification-code \ @@ -168,7 +172,7 @@ Der Antwortkörper könnte folgendermaßen aussehen: } ``` -Nach Erhalt des Verifizierungscodes kannst du ihn verwenden, um den Verifizierungsstatus des Verifizierungsdatensatzes zu aktualisieren. +Nach Erhalt des Verifizierungscodes können Sie ihn verwenden, um den Verifizierungsstatus des Verifizierungsdatensatzes zu aktualisieren. ```bash curl -X PATCH https://[tenant-id].logto.app/api/verifications/verification-code/verify \ @@ -177,21 +181,21 @@ curl -X PATCH https://[tenant-id].logto.app/api/verifications/verification-code/ --data-raw '{"identifier":{"type":"email","value":"..."},"verificationId":"...","code":"123456"}' ``` -Nach der Überprüfung des Codes kannst du nun die Verifizierungsdatensatz-ID verwenden, um den Identifikator des Benutzers zu aktualisieren. +Nach der Überprüfung des Codes können Sie nun die Verifizierungsdatensatz-ID verwenden, um den Identifikator des Benutzers zu aktualisieren. ### Anfrage mit Verifizierungsdatensatz-ID senden \{#send-request-with-verification-record-id} -Beim Senden einer Anfrage zur Aktualisierung des Identifikators des Benutzers musst du die Verifizierungsdatensatz-ID an den Anfrage-Header mit dem Feld `logto-verification-id` anhängen. +Wenn Sie eine Anfrage senden, um den Identifikator des Benutzers zu aktualisieren, müssen Sie die Verifizierungsdatensatz-ID dem Anfrage-Header mit dem Feld `logto-verification-id` anhängen. ### Neue E-Mail aktualisieren oder verknüpfen \{#update-or-link-new-email} :::note -Um diese Methode zu verwenden, musst du den [E-Mail-Connector](/connectors/email-connectors/) konfigurieren und sicherstellen, dass die `BindNewIdentifier`-Vorlage konfiguriert ist. +Um diese Methode zu verwenden, müssen Sie den [E-Mail-Connector konfigurieren](/connectors/email-connectors/), und sicherstellen, dass die `BindNewIdentifier`-Vorlage konfiguriert ist. ::: -Um eine neue E-Mail zu aktualisieren oder zu verknüpfen, solltest du zuerst das Eigentum der E-Mail nachweisen. +Um eine neue E-Mail zu aktualisieren oder zu verknüpfen, sollten Sie zuerst das Eigentum der E-Mail nachweisen. -Rufe den Endpunkt `POST /api/verifications/verification-code` auf, um einen Verifizierungscode anzufordern. +Rufen Sie den Endpunkt `POST /api/verifications/verification-code` auf, um einen Verifizierungscode anzufordern. ```bash curl -X POST https://[tenant-id].logto.app/api/verifications/verification-code \ @@ -200,7 +204,7 @@ curl -X POST https://[tenant-id].logto.app/api/verifications/verification-code \ --data-raw '{"identifier":{"type":"email","value":"..."}}' ``` -Du wirst eine `verificationId` in der Antwort finden und einen Verifizierungscode in der E-Mail erhalten, verwende ihn, um die E-Mail zu überprüfen. +Sie finden eine `verificationId` in der Antwort und erhalten einen Verifizierungscode in der E-Mail, verwenden Sie ihn, um die E-Mail zu überprüfen. ```bash curl -X PATCH https://[tenant-id].logto.app/api/verifications/verification-code/verify \ @@ -209,7 +213,7 @@ curl -X PATCH https://[tenant-id].logto.app/api/verifications/verification-code/ --data-raw '{"identifier":{"type":"email","value":"..."},"verificationId":"...","code":"..."}' ``` -Nach der Überprüfung des Codes kannst du nun die E-Mail des Benutzers aktualisieren, setze die `verificationId` in den Anfragekörper als `newIdentifierVerificationRecordId`. +Nach der Überprüfung des Codes können Sie nun die E-Mail des Benutzers aktualisieren, setzen Sie die `verificationId` in den Anfragekörper als `newIdentifierVerificationRecordId`. ```bash curl -X PATCH https://[tenant-id].logto.app/api/my-account/primary-email \ @@ -221,7 +225,7 @@ curl -X PATCH https://[tenant-id].logto.app/api/my-account/primary-email \ ### E-Mail des Benutzers entfernen \{#remove-the-users-email} -Um die E-Mail des Benutzers zu entfernen, kannst du den Endpunkt `DELETE /api/my-account/primary-email` verwenden. +Um die E-Mail des Benutzers zu entfernen, können Sie den Endpunkt `DELETE /api/my-account/primary-email` verwenden. ```bash curl -X DELETE https://[tenant-id].logto.app/api/my-account/primary-email \ @@ -232,14 +236,14 @@ curl -X DELETE https://[tenant-id].logto.app/api/my-account/primary-email \ ### Telefon verwalten \{#manage-phone} :::note -Um diese Methode zu verwenden, musst du den [SMS-Connector](/connectors/sms-connectors/) konfigurieren und sicherstellen, dass die `BindNewIdentifier`-Vorlage konfiguriert ist. +Um diese Methode zu verwenden, müssen Sie den [SMS-Connector konfigurieren](/connectors/sms-connectors/), und sicherstellen, dass die `BindNewIdentifier`-Vorlage konfiguriert ist. ::: -Ähnlich wie beim Aktualisieren der E-Mail kannst du den Endpunkt `PATCH /api/my-account/primary-phone` verwenden, um ein neues Telefon zu aktualisieren oder zu verknüpfen. Und den Endpunkt `DELETE /api/my-account/primary-phone`, um das Telefon des Benutzers zu entfernen. +Ähnlich wie beim Aktualisieren der E-Mail können Sie den Endpunkt `PATCH /api/my-account/primary-phone` verwenden, um ein neues Telefon zu aktualisieren oder zu verknüpfen. Und den Endpunkt `DELETE /api/my-account/primary-phone`, um das Telefon des Benutzers zu entfernen. -### Neue soziale Verbindung verknüpfen \{#link-a-new-social-connection} +### Eine neue soziale Verbindung verknüpfen \{#link-a-new-social-connection} -Um eine neue soziale Verbindung zu verknüpfen, solltest du zuerst eine Autorisierungs-URL anfordern: +Um eine neue soziale Verbindung zu verknüpfen, sollten Sie zuerst eine Autorisierungs-URL anfordern: ```bash curl -X POST https://[tenant-id].logto.app/api/verifications/social \ @@ -249,12 +253,12 @@ curl -X POST https://[tenant-id].logto.app/api/verifications/social \ ``` - `connectorId`: Die ID des [sozialen Connectors](/connectors/social-connectors/). -- `redirectUri`: Die Umleitungs-URI, nachdem der Benutzer die Anwendung autorisiert hat. Du solltest eine Webseite unter dieser URL hosten und den Callback erfassen. +- `redirectUri`: Die Umleitungs-URI, nachdem der Benutzer die Anwendung autorisiert hat. Sie sollten eine Webseite unter dieser URL hosten und den Callback erfassen. - `state`: Der Zustand, der nach der Autorisierung der Anwendung durch den Benutzer zurückgegeben wird. Es ist eine zufällige Zeichenfolge, die verwendet wird, um CSRF-Angriffe zu verhindern. -In der Antwort findest du eine `verificationRecordId`, bewahre sie für die spätere Verwendung auf. +In der Antwort finden Sie eine `verificationRecordId`, bewahren Sie sie für die spätere Verwendung auf. -Nachdem der Benutzer die Anwendung autorisiert hat, erhältst du einen Callback an die `redirectUri` mit dem `state`-Parameter. Dann kannst du den Endpunkt `POST /api/verifications/social/verify` verwenden, um die soziale Verbindung zu überprüfen. +Nachdem der Benutzer die Anwendung autorisiert hat, erhalten Sie einen Callback an der `redirectUri` mit dem `state`-Parameter. Dann können Sie den Endpunkt `POST /api/verifications/social/verify` verwenden, um die soziale Verbindung zu überprüfen. ```bash curl -X POST https://[tenant-id].logto.app/api/verifications/social/verify \ @@ -263,12 +267,12 @@ curl -X POST https://[tenant-id].logto.app/api/verifications/social/verify \ --data-raw '{"connectorData":"...","verificationRecordId":"..."}' ``` -Die `connectorData` sind die Daten, die vom sozialen Connector nach der Autorisierung der Anwendung durch den Benutzer zurückgegeben werden. Du musst die Abfrageparameter von der `redirectUri` auf deiner Callback-Seite analysieren und als JSON als Wert des `connectorData`-Feldes umwickeln. +Die `connectorData` sind die Daten, die vom sozialen Connector nach der Autorisierung der Anwendung durch den Benutzer zurückgegeben werden. Sie müssen die Abfrageparameter von der `redirectUri` auf Ihrer Callback-Seite analysieren und als JSON als Wert des `connectorData`-Feldes verpacken. -Schließlich kannst du den Endpunkt `PATCH /api/my-account/identities` verwenden, um die soziale Verbindung zu verknüpfen. +Schließlich können Sie den Endpunkt `POST /api/my-account/identities` verwenden, um die soziale Verbindung zu verknüpfen. ```bash -curl -X PATCH https://[tenant-id].logto.app/api/my-account/identities \ +curl -X POST https://[tenant-id].logto.app/api/my-account/identities \ -H 'authorization: Bearer ' \ -H 'logto-verification-id: ' \ -H 'content-type: application/json' \ @@ -277,7 +281,7 @@ curl -X PATCH https://[tenant-id].logto.app/api/my-account/identities \ ### Eine soziale Verbindung entfernen \{#remove-a-social-connection} -Um eine soziale Verbindung zu entfernen, kannst du den Endpunkt `DELETE /api/my-account/identities` verwenden. +Um eine soziale Verbindung zu entfernen, können Sie den Endpunkt `DELETE /api/my-account/identities` verwenden. ```bash curl -X DELETE https://[tenant-id].logto.app/api/my-account/identities/[connector_target_id] \ diff --git a/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index ddffa1ee504..6ab7ccbd5ed 100644 --- a/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/de/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -11,7 +11,7 @@ sidebar_position: 3 Es gibt zwei Haupttypen der Authentifizierung: - **SFA/1FA (Single-Factor Authentication)**: Dies ist die anfängliche Anmeldemethode, die typischerweise einen [Benutzernamen / E-Mail / Telefon und Passwort](/end-user-flows/sign-up-and-sign-in/sign-in) oder [soziale Anmeldung](/end-user-flows/sign-up-and-sign-in/social-sign-in) erfordert. -- **MFA/2FA (Multi-Faktor-Authentifizierung / Zwei-Faktor-Authentifizierung)**: MFA verlangt mindestens zwei verschiedene Verifizierungsmethoden, um auf dein Konto zuzugreifen, und stärkt so effektiv deine Verteidigung gegen unbefugten Zugriff. +- **MFA/2FA (Multi-Faktor-Authentifizierung / Zwei-Faktor-Authentifizierung)**: MFA verlangt mindestens zwei verschiedene Verifizierungsmethoden, um auf dein Konto zuzugreifen, und stärkt so effektiv den Schutz gegen unbefugten Zugriff. Authentifizierungsfaktoren sind die Maßnahmen, die deine Identität überprüfen. Es gibt verschiedene Faktoren, die nach Attributen kategorisiert sind: @@ -21,15 +21,15 @@ Authentifizierungsfaktoren sind die Maßnahmen, die deine Identität überprüfe | Besitz | Etwas, das du hast | SMS-Verifizierungscode, Authenticator-App-OTP, Hardware-OTP (Sicherheitsschlüssel) | | Inhärenz | Etwas, das du bist | Biometrie wie Fingerabdrücke, Gesichtserkennung | -In einem MFA-Ablauf muss der zweite Authentifizierungsschritt einen anderen Attributtyp (Wissen / Besitz / Inhärenz) als der erste verwenden. Zum Beispiel kann die Verwendung von "Passwort (Wissen)" als erster Faktor und "Authenticator-App-OTP (Besitz)" als zweiter Faktor effektiv verschiedene Angriffsvektoren mindern. +In einem MFA-Ablauf muss der zweite Authentifizierungsschritt einen anderen Attributtyp (Wissen / Besitz / Inhärenz) als der erste verwenden. Zum Beispiel kann die Verwendung von "Passwort (Wissen)" als erster Faktor und "Authenticator-App-OTP (Besitz)" als zweiter Faktor effektiv verschiedene Angriffsvektoren abschwächen. ## Warum brauchen wir eine MFA? \{#why-do-we-need-an-mfa} -MFA ist eine wesentliche Sicherheitsmaßnahme, insbesondere für B2B- und B2E-Dienste. Sie wird aus mehreren Gründen in der heutigen digitalen Landschaft weit verbreitet eingesetzt: +MFA ist eine wichtige Sicherheitsmaßnahme, insbesondere für B2B- und B2E-Dienste. Sie wird aus mehreren Gründen in der heutigen digitalen Landschaft weit verbreitet eingesetzt: - **Kontohacking**: Unbefugter Kontozugriff bleibt eine bedeutende Sicherheitsbedrohung. MFA bietet jedoch starken Schutz und blockiert effektiv 99,9 % der Kontohacks, insbesondere solche, die aus Passwortverletzungen resultieren. Es dient als kostengünstige Verbesserung der Sicherheit, ergänzt durch Strategien wie passwortlose Anmeldungen, robuste Passwortrichtlinien, Passwortmanager und Schutzmaßnahmen gegen Angriffe. -- **SaaS-Adoption**: Viele Unternehmen implementieren zunehmend MFA, um ihre Mitarbeiter zu schützen und sensible Unternehmensdaten und -ressourcen zu sichern. Laut einer Umfrage von LastPass nutzen jetzt 57 % der globalen Unternehmen MFA, was einem Anstieg von 12 % gegenüber dem Vorjahr entspricht. -- **Regulatorische Compliance**: MFA unterstützt Organisationen dabei, die Einhaltung von Datenschutzbestimmungen wie GDPR und NIST aufrechtzuerhalten und so die Sicherheit der Benutzerdaten zu gewährleisten. +- **SaaS-Adoption**: Viele Unternehmen implementieren zunehmend MFA, um ihre Mitarbeiter zu schützen und sensible Unternehmensdaten und -ressourcen zu sichern. Laut einer Umfrage von LastPass nutzen mittlerweile 57 % der globalen Unternehmen MFA, was einem Anstieg von 12 % gegenüber dem Vorjahr entspricht. +- **Regulatorische Compliance**: MFA hilft Organisationen, die Einhaltung von Datenschutzbestimmungen wie GDPR und NIST aufrechtzuerhalten und so die Sicherheit der Benutzerdaten zu gewährleisten. ## Logto-Unterstützung \{#logto-support} @@ -38,5 +38,5 @@ Logto vereinfacht den MFA-Aktivierungsprozess mit einem Ein-Klick-Umschalter und **Unterstützte MFA-Faktoren**: - [Authenticator-App-OTP](/end-user-flows/mfa/authenticator-app-otp): Verwende ein zeitbasiertes Einmalpasswort (TOTP), das von einer Authenticator-App wie Google Authenticator oder Authy generiert wird. -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn): Verwende einen Sicherheitsschlüssel oder biometrische Authentifizierung für ein passwortloses Erlebnis. -- [Backup-Codes](/end-user-flows/mfa/backup-codes): Generiere einmal verwendbare Backup-Codes für den Notfallzugang. +- [Passkeys (WebAuthn)](/end-user-flows/mfa/webauthn): Verwende einen Sicherheitsschlüssel oder biometrische Authentifizierung für ein passwortloses Erlebnis. +- [Backup-Codes](/end-user-flows/mfa/backup-codes): Generiere einmal verwendbare Backup-Codes für den Notfallzugriff. diff --git a/i18n/es/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/es/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index b6065499940..ebf96d05658 100644 --- a/i18n/es/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/es/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -21,13 +21,13 @@ Los factores de autenticación son las medidas que verifican tu identidad. Hay v | Posesión | Algo que tienes | Código de verificación por SMS, OTP de la aplicación de autenticación, OTP de hardware (clave de seguridad) | | Inherencia | Algo que eres | Biométricos como huellas dactilares, identificación facial | -En un flujo de MFA, el segundo paso de autenticación debe emplear un tipo de atributo diferente (Conocimiento/Posesión/Inherencia) al primero. Por ejemplo, usar "Contraseña (Conocimiento)" como el primer factor y "OTP de la aplicación de autenticación (Posesión)" como el segundo factor puede mitigar efectivamente varios vectores de ataque. +En un flujo de MFA, el segundo paso de autenticación debe emplear un tipo de atributo diferente (Conocimiento/Posesión/Inherencia) que el primero. Por ejemplo, usar "Contraseña (Conocimiento)" como el primer factor y "OTP de la aplicación de autenticación (Posesión)" como el segundo factor puede mitigar efectivamente varios vectores de ataque. ## ¿Por qué necesitamos un MFA? \{#why-do-we-need-an-mfa} MFA es una medida de seguridad vital, particularmente para servicios B2B y B2E. Es ampliamente adoptada en el panorama digital actual por múltiples razones: -- **Hackeo de cuentas**: El acceso no autorizado a cuentas sigue siendo una amenaza de seguridad significativa. Sin embargo, MFA ofrece una fuerte protección, bloqueando efectivamente el 99.9% de los hackeos de cuentas, particularmente aquellos que provienen de violaciones de contraseñas. Sirve como una mejora rentable a la seguridad, complementada por estrategias como inicios de sesión sin contraseña, políticas de contraseñas robustas, gestores de contraseñas y medidas de protección contra ataques. +- **Hackeo de cuentas**: El acceso no autorizado a cuentas sigue siendo una amenaza de seguridad significativa. Sin embargo, MFA ofrece una fuerte protección, bloqueando efectivamente el 99.9% de los hackeos de cuentas, particularmente aquellos derivados de violaciones de contraseñas. Sirve como una mejora de seguridad rentable, complementada por estrategias como inicios de sesión sin contraseña, políticas de contraseñas robustas, gestores de contraseñas y medidas de protección contra ataques. - **Adopción de SaaS**: Muchas empresas están implementando cada vez más MFA para proteger a sus empleados y asegurar datos y activos sensibles de la empresa. Según una encuesta de LastPass, el 57% de las empresas globales ahora utilizan MFA, reflejando un aumento del 12% respecto al año anterior. - **Cumplimiento normativo**: MFA ayuda a las organizaciones a mantener el cumplimiento con regulaciones de protección de datos como GDPR y NIST, asegurando así la seguridad de los datos de los usuarios. @@ -38,5 +38,5 @@ Logto simplifica el proceso de activación de MFA con un interruptor de un solo **Factores de MFA compatibles**: - [OTP de la aplicación de autenticación](/end-user-flows/mfa/authenticator-app-otp): Usa una contraseña de un solo uso basada en tiempo (TOTP) generada por una aplicación de autenticación como Google Authenticator o Authy. -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn): Usa una clave de seguridad o autenticación biométrica para una experiencia sin contraseña. +- [Claves de acceso (WebAuthn)](/end-user-flows/mfa/webauthn): Usa una clave de seguridad o autenticación biométrica para una experiencia sin contraseña. - [Códigos de respaldo](/end-user-flows/mfa/backup-codes): Genera códigos de respaldo de un solo uso para acceso de emergencia. diff --git a/i18n/fr/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/fr/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index 229858117af..4a98b542a88 100644 --- a/i18n/fr/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/fr/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -6,12 +6,12 @@ sidebar_position: 3 ## Qu'est-ce que l'authentification multi-facteurs ? \{#what-is-mfa} -[L'authentification multi-facteurs (MFA)](https://auth.wiki/mfa) est une méthode de sécurité qui ajoute une couche de protection supplémentaire lors du processus de connexion. Elle exige que les utilisateurs fournissent plusieurs informations d'identification pour établir leur identité numérique. +[L'authentification multi-facteurs (MFA)](https://auth.wiki/mfa) est une méthode de sécurité qui ajoute une couche supplémentaire de protection lors du processus de connexion. Elle exige que les utilisateurs fournissent plusieurs informations d'identification pour établir leur identité numérique. Il existe deux principaux types d'authentification : - **SFA/1FA (Authentification à un facteur)** : Il s'agit de la méthode de connexion initiale, nécessitant généralement un [nom d'utilisateur / e-mail / téléphone et mot de passe](/end-user-flows/sign-up-and-sign-in/sign-in) ou une [connexion sociale](/end-user-flows/sign-up-and-sign-in/social-sign-in). -- **MFA/2FA (Authentification multi-facteurs / Authentification à deux facteurs)** : La MFA exige au moins deux méthodes de vérification différentes pour accéder à votre compte, renforçant ainsi efficacement votre défense contre les accès non autorisés. +- **MFA/2FA (Authentification multi-facteurs / Authentification à deux facteurs)** : La MFA impose au moins deux méthodes de vérification différentes pour accéder à votre compte, renforçant ainsi efficacement votre défense contre les accès non autorisés. Les facteurs d'authentification sont les mesures qui vérifient votre identité. Il existe divers facteurs classés par attributs parmi lesquels choisir : @@ -19,7 +19,7 @@ Les facteurs d'authentification sont les mesures qui vérifient votre identité. | ------------ | ---------------------------- | ------------------------------------------------------------------------------------------------ | | Connaissance | Quelque chose que vous savez | Mot de passe, Code de vérification par e-mail, et Codes de secours | | Possession | Quelque chose que vous avez | Code de vérification par SMS, OTP de l'application Authenticator, OTP matériel (clé de sécurité) | -| Inhérence | Quelque chose que vous êtes | Biométrie comme les empreintes digitales, reconnaissance faciale | +| Inhérence | Quelque chose que vous êtes | Biométrie comme les empreintes digitales, ID de visage | Dans un flux MFA, la deuxième étape d'authentification doit utiliser un type d'attribut différent (Connaissance / Possession / Inhérence) de la première. Par exemple, utiliser "Mot de passe (Connaissance)" comme premier facteur et "OTP de l'application Authenticator (Possession)" comme deuxième facteur peut efficacement atténuer divers vecteurs d'attaque. @@ -38,5 +38,5 @@ Logto simplifie le processus d'activation de la MFA avec un basculement en un cl **Facteurs MFA pris en charge** : - [OTP de l'application Authenticator](/end-user-flows/mfa/authenticator-app-otp) : Utilisez un mot de passe à usage unique basé sur le temps (TOTP) généré par une application d'authentification comme Google Authenticator ou Authy. -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn) : Utilisez une clé de sécurité ou une authentification biométrique pour une expérience sans mot de passe. +- [Passkeys (WebAuthn)](/end-user-flows/mfa/webauthn) : Utilisez une clé de sécurité ou une authentification biométrique pour une expérience sans mot de passe. - [Codes de secours](/end-user-flows/mfa/backup-codes) : Générez des codes de secours à usage unique pour un accès d'urgence. diff --git a/i18n/ja/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/ja/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index d0c977f4e23..670b3f4081b 100644 --- a/i18n/ja/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/ja/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -11,23 +11,23 @@ sidebar_position: 3 認証 (Authentication) には主に 2 つのタイプがあります: - **SFA/1FA (シングルファクター認証)**:これは初期のログイン方法で、通常は [ユーザー名 / メール / 電話番号とパスワード](/end-user-flows/sign-up-and-sign-in/sign-in) または [ソーシャルログイン](/end-user-flows/sign-up-and-sign-in/social-sign-in) を必要とします。 -- **MFA/2FA (多要素認証 / 二要素認証)**:MFA は、アカウントにアクセスするために少なくとも 2 つの異なる検証方法を要求し、不正アクセスに対する防御を効果的に強化します。 +- **MFA/2FA (多要素認証 / 二要素認証)**:MFA は、アカウントにアクセスするために少なくとも 2 つの異なる検証方法を要求し、不正アクセスに対する防御を強化します。 認証 (Authentication) ファクターは、あなたのアイデンティティを確認する手段です。選択できるさまざまな属性によって分類されたファクターがあります: -| タイプ | 意味 | 検証ファクター (Logto サポート) | -| ------ | -------------------- | ------------------------------------------------------------------- | -| 知識 | 知っていること | パスワード、メール認証コード、バックアップコード | -| 所有 | 持っているもの | SMS 認証コード、認証アプリ OTP、ハードウェア OTP (セキュリティキー) | -| 生体 | あなた自身であること | 指紋や顔 ID などの生体認証 | +| タイプ | 意味 | 検証ファクター (Logto サポート) | +| -------- | -------------------- | ------------------------------------------------------------------- | +| 知識 | 知っていること | パスワード、メール認証コード、バックアップコード | +| 所有 | 持っているもの | SMS 認証コード、認証アプリ OTP、ハードウェア OTP (セキュリティキー) | +| 生体認証 | あなた自身であること | 指紋、顔 ID などの生体認証 | -MFA フローでは、2 番目の認証ステップは、最初のステップとは異なる属性タイプ (知識 / 所有 / 生体) を使用する必要があります。例えば、最初のファクターとして「パスワード (知識)」を使用し、2 番目のファクターとして「認証アプリ OTP (所有)」を使用することで、さまざまな攻撃ベクトルを効果的に軽減できます。 +MFA フローでは、2 番目の認証ステップは最初のステップとは異なる属性タイプ (知識 / 所有 / 生体認証) を使用する必要があります。例えば、「パスワード (知識)」を最初のファクターとして使用し、「認証アプリ OTP (所有)」を 2 番目のファクターとして使用することで、さまざまな攻撃ベクトルを効果的に軽減できます。 ## なぜ MFA が必要なのか? \{#why-do-we-need-an-mfa} -MFA は特に B2B および B2E サービスにとって重要なセキュリティ対策です。今日のデジタル環境で広く採用されている理由は複数あります: +MFA は特に B2B および B2E サービスにとって重要なセキュリティ対策です。今日のデジタル環境で広く採用されている理由は次のとおりです: -- **アカウントハッキング**:不正なアカウントアクセスは依然として重大なセキュリティ脅威です。しかし、MFA は強力な保護を提供し、特にパスワード漏洩からのアカウントハックの 99.9% を効果的にブロックします。これは、パスワードレスログイン、強力なパスワードポリシー、パスワードマネージャー、攻撃に対する保護策などの戦略を補完するコスト効果の高いセキュリティ強化策です。 +- **アカウントハッキング**:不正なアカウントアクセスは依然として重大なセキュリティ脅威です。しかし、MFA は強力な保護を提供し、特にパスワード侵害からのアカウントハックの 99.9% を効果的にブロックします。これは、パスワードレスログイン、強力なパスワードポリシー、パスワードマネージャー、攻撃に対する保護策などの戦略によって補完される、コスト効果の高いセキュリティ強化策です。 - **SaaS の採用**:多くの企業が従業員を保護し、機密性の高い企業データや資産を保護するために MFA をますます導入しています。LastPass の調査によれば、世界の企業の 57% が現在 MFA を利用しており、前年から 12% 増加しています。 - **規制遵守**:MFA は、GDPR や NIST などのデータ保護規制に準拠するのに役立ち、ユーザーデータのセキュリティを確保します。 @@ -38,5 +38,5 @@ Logto は、複雑な設定を必要とせずにワンクリックで MFA を有 **サポートされている MFA ファクター**: - [認証アプリ OTP](/end-user-flows/mfa/authenticator-app-otp):Google Authenticator や Authy などの認証アプリによって生成される時間ベースのワンタイムパスワード (TOTP) を使用します。 -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn):セキュリティキーや生体認証を使用してパスワードレスの体験を提供します。 +- [パスキー (WebAuthn)](/end-user-flows/mfa/webauthn):セキュリティキーまたは生体認証を使用して、パスワードレスの体験を提供します。 - [バックアップコード](/end-user-flows/mfa/backup-codes):緊急アクセス用に一度限り使用可能なバックアップコードを生成します。 diff --git a/i18n/pt-BR/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/pt-BR/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index 0a8f8ba40fb..a127ef37be6 100644 --- a/i18n/pt-BR/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/pt-BR/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -2,7 +2,7 @@ sidebar_position: 3 --- -# Autenticação multifatorial (MFA) +# Autenticação multifatorial ## O que é MFA? \{#what-is-mfa} @@ -10,10 +10,10 @@ sidebar_position: 3 Existem dois tipos principais de autenticação: -- **SFA/1FA (Autenticação de Fator Único)**: Este é o método de login inicial, normalmente exigindo um [nome de usuário/email/telefone e senha](/end-user-flows/sign-up-and-sign-in/sign-in) ou [login social](/end-user-flows/sign-up-and-sign-in/social-sign-in). +- **SFA/1FA (Autenticação de Fator Único)**: Este é o método inicial de login, normalmente exigindo um [nome de usuário/email/telefone e senha](/end-user-flows/sign-up-and-sign-in/sign-in) ou [login social](/end-user-flows/sign-up-and-sign-in/social-sign-in). - **MFA/2FA (Autenticação Multifatorial/Autenticação de Dois Fatores)**: A MFA exige pelo menos dois métodos de verificação diferentes para acessar sua conta, fortalecendo efetivamente sua defesa contra acessos não autorizados. -Os fatores de autenticação são as medidas que verificam sua identidade. Existem vários fatores categorizados por atributos para escolher: +Fatores de autenticação são as medidas que verificam sua identidade. Existem vários fatores categorizados por atributos para escolher: | Tipos | O que significa | Fatores de verificação (suportados pelo Logto) | | ------------ | ------------------ | --------------------------------------------------------------------------------------------------- | @@ -21,15 +21,15 @@ Os fatores de autenticação são as medidas que verificam sua identidade. Exist | Posse | Algo que você tem | Código de verificação por SMS, OTP de aplicativo autenticador, OTP de hardware (Chave de segurança) | | Inerência | Algo que você é | Biometria como impressões digitais, ID facial | -Em um fluxo de MFA, a segunda etapa de autenticação deve empregar um tipo de atributo diferente (Conhecimento/Posse/Inerência) do primeiro. Por exemplo, usar "Senha (Conhecimento)" como o primeiro fator e "OTP de aplicativo autenticador (Posse)" como o segundo fator pode mitigar efetivamente vários vetores de ataque. +Em um fluxo de MFA, a segunda etapa de autenticação deve empregar um tipo de atributo diferente (Conhecimento/Posse/Inerência) do primeiro. Por exemplo, usar "Senha (Conhecimento)" como o primeiro fator e "OTP de aplicativo autenticador (Posse)" como o segundo fator pode efetivamente mitigar vários vetores de ataque. -## Por que precisamos de MFA? \{#why-do-we-need-an-mfa} +## Por que precisamos de uma MFA? \{#why-do-we-need-an-mfa} -A MFA é uma medida de segurança vital, especialmente para serviços B2B e B2E. Ela é amplamente adotada no cenário digital atual por vários motivos: +A MFA é uma medida de segurança vital, particularmente para serviços B2B e B2E. Ela é amplamente adotada no cenário digital atual por vários motivos: - **Hackeamento de contas**: O acesso não autorizado a contas continua sendo uma ameaça significativa à segurança. No entanto, a MFA oferece forte proteção, bloqueando efetivamente 99,9% dos hacks de contas, especialmente aqueles decorrentes de violações de senha. Ela serve como um aprimoramento de segurança econômico, complementado por estratégias como logins sem senha, políticas de senha robustas, gerenciadores de senha e medidas de proteção contra ataques. - **Adoção de SaaS**: Muitas empresas estão cada vez mais implementando a MFA para proteger seus funcionários e garantir a segurança de dados e ativos sensíveis da empresa. De acordo com uma pesquisa da LastPass, 57% das empresas globais agora utilizam a MFA, refletindo um aumento de 12% em relação ao ano anterior. -- **Conformidade regulatória**: A MFA ajuda as organizações a manter a conformidade com regulamentos de proteção de dados, como GDPR e NIST, garantindo assim a segurança dos dados dos usuários. +- **Conformidade regulatória**: A MFA auxilia as organizações a manterem a conformidade com regulamentos de proteção de dados, como GDPR e NIST, garantindo assim a segurança dos dados dos usuários. ## Suporte do Logto \{#logto-support} @@ -38,5 +38,5 @@ O Logto simplifica o processo de ativação da MFA com um botão de alternância **Fatores de MFA suportados**: - [OTP de aplicativo autenticador](/end-user-flows/mfa/authenticator-app-otp): Use uma senha única baseada em tempo (TOTP) gerada por um aplicativo autenticador como Google Authenticator ou Authy. -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn): Use uma chave de segurança ou autenticação biométrica para uma experiência sem senha. +- [Chaves de acesso (WebAuthn)](/end-user-flows/mfa/webauthn): Use uma chave de segurança ou autenticação biométrica para uma experiência sem senha. - [Códigos de backup](/end-user-flows/mfa/backup-codes): Gere códigos de backup de uso único para acesso de emergência. diff --git a/i18n/zh-CN/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx b/i18n/zh-CN/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx index 7f26096fa17..0f60fc4a43e 100644 --- a/i18n/zh-CN/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx +++ b/i18n/zh-CN/docusaurus-plugin-content-docs/current/end-user-flows/mfa/README.mdx @@ -6,37 +6,37 @@ sidebar_position: 3 ## 什么是 MFA? \{#what-is-mfa} -[多因素认证 (MFA)](https://auth.wiki/mfa) 是一种在登录过程中增加额外保护层的安全方法。它要求用户提供多个凭证以建立其数字身份。 +[多因素认证 (MFA)](https://auth.wiki/mfa) 是一种在登录过程中增加额外保护层的安全方法。它要求用户提供多个凭证以建立他们的数字身份。 -主要有两种认证 (Authentication) 类型: +主要有两种类型的认证 (Authentication): -- **SFA/1FA (单因素认证/单因素认证)**:这是初始登录方法,通常需要 [用户名/电子邮件/电话和密码](/end-user-flows/sign-up-and-sign-in/sign-in) 或 [社交登录](/end-user-flows/sign-up-and-sign-in/social-sign-in)。 +- **SFA/1FA (单因素认证/单因素认证)**:这是初始的登录方法,通常需要 [用户名/电子邮件/电话和密码](/end-user-flows/sign-up-and-sign-in/sign-in) 或 [社交登录](/end-user-flows/sign-up-and-sign-in/social-sign-in)。 - **MFA/2FA (多因素认证/双因素认证)**:MFA 要求至少两种不同的验证方法来访问你的账户,有效地增强了对未经授权访问的防御。 -认证 (Authentication) 因素是验证你身份的措施。可以根据属性选择各种因素: +认证 (Authentication) 因素是验证你身份的措施。可以选择的因素根据属性分类如下: | 类型 | 含义 | 验证因素(Logto 支持) | | ---- | ------------ | ------------------------------------------------ | | 知识 | 你知道的东西 | 密码、电子邮件验证码和备用代码 | -| 拥有 | 你拥有的东西 | 短信验证码、认证器应用 OTP、硬件 OTP(安全密钥) | +| 持有 | 你拥有的东西 | 短信验证码、认证器应用 OTP、硬件 OTP(安全密钥) | | 固有 | 你是什么 | 生物识别如指纹、面部识别 | -在 MFA 流程中,第二个认证 (Authentication) 步骤必须使用与第一个不同属性类型(知识/拥有/固有)。例如,使用“密码(知识)”作为第一个因素和“认证器应用 OTP(拥有)”作为第二个因素可以有效地减轻各种攻击向量。 +在 MFA 流程中,第二个认证 (Authentication) 步骤必须使用与第一个不同属性类型(知识/持有/固有)的因素。例如,使用“密码(知识)”作为第一个因素和“认证器应用 OTP(持有)”作为第二个因素可以有效地减轻各种攻击向量。 ## 为什么我们需要 MFA? \{#why-do-we-need-an-mfa} MFA 是一项重要的安全措施,特别是对于 B2B 和 B2E 服务。在当今的数字环境中,它因多种原因被广泛采用: -- **账户黑客攻击**:未经授权的账户访问仍然是一个重大的安全威胁。然而,MFA 提供了强大的保护,有效地阻止了 99.9% 的账户黑客攻击,特别是那些源于密码泄露的攻击。它作为一种成本效益高的安全增强措施,辅以无密码登录、强密码策略、密码管理器和防御攻击的保护措施。 -- **SaaS 采用**:许多企业正在越来越多地实施 MFA 以保护其员工并确保公司敏感数据和资产的安全。根据 LastPass 的一项调查,57% 的全球企业现在使用 MFA,比前一年增加了 12%。 -- **法规遵从**:MFA 帮助组织保持对 GDPR 和 NIST 等数据保护法规的合规性,从而确保用户数据的安全。 +- **账户黑客攻击**:未经授权的账户访问仍然是一个重大的安全威胁。然而,MFA 提供了强大的保护,有效地阻止了 99.9% 的账户黑客攻击,特别是那些源于密码泄露的攻击。它作为一种经济有效的安全增强措施,辅以无密码登录、强密码策略、密码管理器和攻击防护措施。 +- **SaaS 采用**:许多企业正在越来越多地实施 MFA 以保护其员工并确保公司敏感数据和资产的安全。根据 LastPass 的一项调查,57% 的全球企业现在使用 MFA,比去年增加了 12%。 +- **法规遵从**:MFA 帮助组织保持对 GDPR 和 NIST 等数据保护法规的遵从,从而确保用户数据的安全。 ## Logto 支持 \{#logto-support} -Logto 通过一键切换简化了 MFA 激活过程,无需复杂的配置。请从我们的快速指南开始,了解[启用验证因素](/end-user-flows/mfa/configure-mfa)。 +Logto 通过一键切换简化了 MFA 的激活过程,无需复杂的配置。请从我们的快速指南开始,了解[启用验证因素](/end-user-flows/mfa/configure-mfa)。 **支持的 MFA 因素**: - [认证器应用 OTP](/end-user-flows/mfa/authenticator-app-otp):使用由 Google Authenticator 或 Authy 等认证器应用生成的基于时间的一次性密码 (TOTP)。 -- [Passwkeys (WebAuthn)](/end-user-flows/mfa/webauthn):使用安全密钥或生物识别认证实现无密码体验。 -- [备用代码](/end-user-flows/mfa/backup-codes):生成一次性使用的备用代码以便紧急访问。 +- [通行密钥 (WebAuthn)](/end-user-flows/mfa/webauthn):使用安全密钥或生物识别认证实现无密码体验。 +- [备用代码](/end-user-flows/mfa/backup-codes):生成一次性使用的备用代码以供紧急访问。