Benutzer verwalten

Verwaltung über die Logto-Konsole

Benutzer durchsuchen und suchen

Um auf die Benutzerverwaltungsfunktionalität in der Logto-Konsole zuzugreifen, navigiere zu Konsole > Benutzerverwaltung. Dort siehst du eine Tabellenansicht aller Benutzer.

Die Tabelle besteht aus drei Spalten:

Benutzer: Zeigt Informationen über den Benutzer an, wie z. B. deren Avatar, vollständigen Namen, Benutzernamen, Telefonnummer und E-Mail
Von Anwendung: Zeigt den Namen der Anwendung an, mit der sich der Benutzer ursprünglich registriert hat
Letzte Anmeldung: Zeigt den Zeitstempel der letzten Anmeldung des Benutzers an.

Es unterstützt die Schlüsselwortzuordnung für name, id, username, primary-phone, primary-email.

Benutzer hinzufügen

Über die Konsole können Entwickler neue Konten für Endbenutzer erstellen. Klicke dazu auf die Schaltfläche "Benutzer hinzufügen" in der oberen rechten Ecke des Bildschirms.

Beim Erstellen eines Benutzers in der Logto-Konsole oder über die Management API (nicht vom Endbenutzer selbst über die Benutzeroberfläche registriert) musst du mindestens einen Identifikator angeben: primäre E-Mail, primäre Telefonnummer oder Benutzername. Das Name-Feld ist optional.

Nachdem der Benutzer erstellt wurde, generiert Logto automatisch ein zufälliges Passwort. Das anfängliche Passwort wird nur einmal angezeigt, aber du kannst das Passwort später zurücksetzen. Wenn du ein bestimmtes Passwort festlegen möchtest, verwende die Management API patch /api/users/{userId}/password, um es nach der Erstellung des Benutzers zu aktualisieren.

Du kannst die eingegebenen Identifikatoren (E-Mail-Adresse / Telefonnummer / Benutzername) und das anfängliche Passwort mit einem Klick kopieren, was es einfach macht, diese Anmeldedaten mit dem neuen Benutzer zu teilen, damit er sich anmelden und loslegen kann.

tipp:

Wenn du eine Registrierung nur auf Einladung implementieren möchtest, empfehlen wir, Benutzer mit einem magischen Link einzuladen. Dadurch können sich nur auf der Whitelist stehende Benutzer selbst registrieren und ihr eigenes Passwort festlegen.

Benutzerprofil anzeigen und aktualisieren

Um die Details eines Benutzers anzuzeigen, klicke einfach auf die entsprechende Zeile in der Benutzertabelle. Dadurch gelangst du zur Seite "Benutzerdetails", auf der du die Profilinformationen des Benutzers findest, einschließlich:

Authentifizierungsbezogene Daten:
- E-Mail-Adresse (primary_email): Bearbeitbar
- Telefonnummer (primary_phone): Bearbeitbar
- Benutzername (username): Bearbeitbar
- Passwort (has_password): Du kannst ein zufälliges Passwort neu generieren. Erfahre mehr über "Benutzerpasswort zurücksetzen".
- Multi-Faktor-Authentifizierung (MFA) (mfa_verification_factor): Zeige alle Authentifizierungsfaktoren an (z. B. Passkeys, Authenticator-Apps, Backup-Codes), die dieser Benutzer eingerichtet hat. Faktoren können in der Konsole entfernt werden.
- Passkeys: Wenn Passkey-Anmeldung im Mandanten aktiviert ist, kannst du auch die Anmelde-Passkeys des Benutzers auf der Seite mit den Benutzerdetails anzeigen und bei Bedarf entfernen. Diese Passkeys werden durch dasselbe WebAuthn-Credential-Modell unterstützt, das von MFA verwendet wird.
- Persönlicher Zugangstoken: Erstellen, anzeigen, umbenennen und löschen von persönlichen Zugangstokens.
Verbindung:
- Soziale Verbindungen (identities):
  - Zeige die verknüpften sozialen Konten des Benutzers an, einschließlich sozialer IDs und Profildetails, die von ihren sozialen Anbietern synchronisiert wurden (z. B. erscheint ein "Facebook"-Eintrag, wenn sich der Benutzer über Facebook angemeldet hat).
  - Du kannst bestehende soziale Identitäten entfernen, aber keine neuen sozialen Konten im Namen des Benutzers verknüpfen.
  - Für soziale Connectors mit aktiviertem Token-Speicher kannst du Zugangstokens und Auffrischungstokens auf der Verbindungsdetailseite anzeigen und verwalten.
- Enterprise SSO-Verbindungen (sso_identities):
  - Zeige die verknüpften Unternehmensidentitäten des Benutzers an, einschließlich Unternehmens-IDs und Profildetails, die von ihren Unternehmensidentitätsanbietern synchronisiert wurden.
  - Du kannst keine Enterprise SSO-Identitäten in der Konsole hinzufügen oder entfernen.
  - Für OIDC-basierte Enterprise-Connectors mit aktiviertem Token-Speicher kannst du Tokens auf der Verbindungsdetailseite anzeigen und löschen.
Benutzerprofildaten: Name, Avatar-URL, benutzerdefinierte Daten und zusätzliche OpenID Connect-Standardansprüche, die nicht enthalten sind. Alle diese Profilfelder sind bearbeitbar.
Sitzungen: Zeige die Liste der aktiven Benutzersitzungen an, einschließlich Geräteinformationen, sessionId und GEO-Standort, falls zutreffend. Zeige weitere Details einer Sitzung an und widerrufe sie auf der Sitzungsdetailseite.

warnung:

Es ist wichtig zu bestätigen, dass der Benutzer eine alternative Anmeldemethode hat, bevor eine soziale Verbindung entfernt wird, wie z. B. eine andere soziale Verbindung, Telefonnummer, E-Mail oder Benutzername-mit-Passwort. Wenn der Benutzer keine andere Anmeldemethode hat, kann er nach dem Entfernen der sozialen Verbindung nicht mehr auf sein Konto zugreifen.

Benutzeraktivitäten anzeigen

Um die letzten Aktivitäten eines Benutzers anzuzeigen, navigiere zum Untertab "Benutzerprotokolle" auf der Seite "Benutzerdetails". Hier findest du eine Tabelle, die die letzten Aktivitäten des Benutzers anzeigt, einschließlich der durchgeführten Aktion, des Ergebnisses der Aktion, der zugehörigen Anwendung und der Zeit, zu der der Benutzer gehandelt hat.

Klicke auf die Tabellenzeile, um weitere Details im Benutzerprotokoll zu sehen, z. B. IP-Adresse, Benutzeragent, Rohdaten usw.

Benutzer sperren

Auf der Seite "Benutzerdetails" klicke auf "Drei Punkte" -> "Benutzer sperren" Schaltfläche.

Sobald ein Benutzer gesperrt ist, kann er sich nicht mehr bei deiner App anmelden und kann nach Ablauf des aktuellen Zugangstokens kein neues Zugangstoken mehr erhalten. Darüber hinaus werden alle API-Anfragen, die von diesem Benutzer gestellt werden, fehlschlagen.

Wenn du diesen Benutzer reaktivieren möchtest, kannst du dies tun, indem du auf "Drei Punkte" -> "Benutzer reaktivieren" Schaltfläche klickst.

Benutzer löschen

Auf der Seite "Benutzerdetails" klicke auf "Drei Punkte" -> "Löschen" Schaltfläche. Das Löschen eines Benutzers kann nicht rückgängig gemacht werden.

Benutzerpasswort zurücksetzen

Auf der Seite "Benutzerdetails" klicke auf "Drei Punkte" -> "Passwort zurücksetzen" Schaltfläche, und dann wird Logto automatisch ein zufälliges Passwort neu generieren.

Nachdem du das Passwort zurückgesetzt hast, kopiere es und sende es an den Endbenutzer. Sobald das "Passwort zurücksetzen"-Modal geschlossen ist, kannst du das Passwort nicht mehr anzeigen. Wenn du es vergisst, kannst du es erneut zurücksetzen.

Du kannst kein spezifisches Passwort für Benutzer in der Logto-Konsole festlegen, aber du kannst die Management API PATCH /api/users/{userId}/password verwenden, um ein Passwort festzulegen.

Aktive Benutzersitzungen verwalten

Auf der Seite "Benutzerdetails" navigiere zur Seite "Sitzungsdetails", indem du auf die Schaltfläche "Verwalten" einer bestimmten Sitzung klickst. Hier kannst du detaillierte Informationen über die Sitzung anzeigen, wie z. B. das Gerät, den Standort und die Anmeldezeit. Wenn du den Benutzer aus dieser Sitzung abmelden möchtest, klicke einfach auf die Schaltfläche "Sitzung widerrufen" in der rechten oberen Ecke, und die Sitzung wird sofort widerrufen.

Standardmäßig wird beim Widerrufen einer Sitzung in der Konsole auch alle mit dieser Sitzung verbundenen First-Party-App-Gewährungen widerrufen, und der Benutzer muss sich erneut anmelden, um den Zugriff wiederherzustellen. Alle zuvor ausgestellten opaken Zugangstokens und Auffrischungstokens für First-Party-Apps werden ebenfalls sofort widerrufen.
Für Drittanbieter-Apps mit offline_access-Berechtigung widerruft das Widerrufen einer Sitzung standardmäßig nicht die App-Gewährung, alle zuvor ausgestellten Auffrischungstokens können weiterhin verwendet werden, bis die Gewährung abläuft.

Autorisierte Drittanbieter-Apps des Benutzers verwalten

Auf der Seite "Benutzerdetails" kannst du den Abschnitt "Autorisierte Drittanbieter-Apps" verwenden, um den Autorisierungsstatus der App für den Benutzer zu überprüfen. Dieser Abschnitt wird durch die Verwaltung der von Benutzern autorisierten Apps (Gewährungen) APIs unterstützt.

Für jede autorisierte App zeigt die Konsole:

App-Name
App-ID
Zeitpunkt der Zugriffserstellung

Wenn du den Zugriff entfernen musst, klicke auf die Widerrufsaktion und bestätige im Modal.

Das Widerrufen einer App-Autorisierung entfernt alle aktiven Drittanbieter-Gewährungen, die mit dieser App für den Benutzer verbunden sind. Es wird auch alle zuvor ausgestellten opaken Zugangstokens und Auffrischungstokens für diese App sofort widerrufen.

Passwort-Compliance-Check

Nachdem du die Passwortrichtlinie in Logto aktualisiert hast, können sich bestehende Benutzer weiterhin mit ihren aktuellen Passwörtern anmelden. Nur neu erstellte Konten müssen der aktualisierten Passwortrichtlinie folgen.

Um eine stärkere Sicherheit zu erzwingen, kannst du die POST /api/sign-in-exp/default/check-password API verwenden, um zu überprüfen, ob das Passwort eines Benutzers den aktuellen Richtlinien entspricht, die in der Standard-Anmeldeerfahrung definiert sind. Wenn dies nicht der Fall ist, kannst du den Benutzer mit einem benutzerdefinierten Ablauf auffordern, sein Passwort mit der Account API zu aktualisieren.

Rollen von Benutzern verwalten

Im Tab "Rollen" der Seite mit den Benutzerdetails kannst du einfach Rollen zuweisen oder entfernen, um dein gewünschtes Ergebnis zu erzielen. Siehe Rollenbasierte Zugangskontrolle für Details.

Die Organisationen anzeigen, zu denen der Benutzer gehört

Logto unterstützt Organisationen und kann deren Mitglieder verwalten. Du kannst einfach Benutzerdetails anzeigen und sehen, zu welcher Organisation sie gehören.

Verwaltung über die Logto Management API

Management API ist eine Sammlung von APIs, die Zugriff auf den Logto-Backend-Dienst bieten. Wie bereits erwähnt, ist die Benutzer-API ein kritischer Bestandteil dieses Dienstes und kann eine Vielzahl von Szenarien unterstützen.

Die benutzerbezogenen RESTful APIs sind unter /api/users montiert, mit Ausnahme der Benutzeraktivitäten, d. h. Benutzerprotokolle /api/logs?userId=:userId.

Du kannst Benutzer über die Management API in mehreren Anwendungsfällen verwalten. Zum Beispiel erweiterte Benutzersuche, Massenkontenerstellung, Registrierung nur auf Einladung usw.

FAQs

Wie kann der Zugriff auf bestimmte Anwendungen für bestimmte Benutzer eingeschränkt werden?

Aufgrund der Omni-Anmeldung von Logto ist es nicht darauf ausgelegt, den Benutzerzugriff auf bestimmte Anwendungen vor der Authentifizierung einzuschränken. Du kannst jedoch anwendungsspezifische Benutzerrollen und Berechtigungen entwerfen, um deine API-Ressourcen zu schützen, und Berechtigungen beim API-Zugriff nach erfolgreicher Benutzeranmeldung validieren. Siehe Autorisierung: Rollenbasierte Zugangskontrolle für weitere Informationen.

Verwaltung über die Logto-Konsole​

Benutzer durchsuchen und suchen​

Benutzer hinzufügen​

Benutzerprofil anzeigen und aktualisieren​

Benutzeraktivitäten anzeigen​

Benutzer sperren​

Benutzer löschen​

Benutzerpasswort zurücksetzen​

Aktive Benutzersitzungen verwalten​

Autorisierte Drittanbieter-Apps des Benutzers verwalten​

Passwort-Compliance-Check​

Rollen von Benutzern verwalten​

Die Organisationen anzeigen, zu denen der Benutzer gehört​

Verwaltung über die Logto Management API​

FAQs​

Wie kann der Zugriff auf bestimmte Anwendungen für bestimmte Benutzer eingeschränkt werden?​