Aller au contenu principal

Gérer les utilisateurs

Gérer via Logto Console

Parcourir et rechercher des utilisateurs

Pour accéder à la fonctionnalité de gestion des utilisateurs dans le Logto Console, accédez à Console > Gestion des utilisateurs. Une fois là, vous verrez une vue en tableau de tous les utilisateurs.

Le tableau se compose de trois colonnes :

  • Utilisateur : Il affiche des informations sur l'utilisateur, telles que son avatar, son nom complet, son nom d'utilisateur, son numéro de téléphone et son e-mail.
  • Depuis l'application : Il affiche le nom de l'application avec laquelle l'utilisateur s'est initialement inscrit.
  • Dernière connexion : Il affiche l'horodatage de la dernière connexion de l'utilisateur.

Il prend en charge la correspondance de mots-clés pour name, id, username, primary-phone, primary-email.

Ajouter des utilisateurs

En utilisant le Console, les développeurs peuvent créer de nouveaux comptes pour les utilisateurs finaux. Pour ce faire, cliquez sur le bouton "Ajouter un utilisateur" dans le coin supérieur droit de l'écran.

Lors de la création d'un utilisateur dans le Logto Console ou via le Management API (non auto-enregistré par l'utilisateur final via l'interface utilisateur), vous devez fournir au moins un identifiant : primary email, primary phone, ou username. Le champ name est facultatif.

Après la création de l'utilisateur, Logto générera automatiquement un mot de passe aléatoire. Le mot de passe initial n'apparaîtra qu'une seule fois, mais vous pouvez réinitialiser le mot de passe plus tard. Si vous souhaitez définir un mot de passe spécifique, utilisez le Management API patch /api/users/{userId}/password pour le mettre à jour après la création de l'utilisateur.

Vous pouvez copier les identifiants saisis (adresse e-mail / numéro de téléphone / nom d'utilisateur) et le mot de passe initial en un clic, ce qui facilite le partage de ces informations d'identification avec le nouvel utilisateur afin qu'il puisse se connecter et commencer.

astuce:

Si vous souhaitez mettre en œuvre une inscription sur invitation uniquement, nous vous recommandons d'inviter des utilisateurs avec un lien magique. Cela permet uniquement aux utilisateurs sur liste blanche de s'auto-enregistrer et de définir leur propre mot de passe.

Voir et mettre à jour le profil utilisateur

Pour voir les détails d'un utilisateur, cliquez simplement sur la ligne correspondante dans le tableau des utilisateurs. Cela vous mènera à la page "Détails de l'utilisateur" où vous pouvez trouver les informations de profil de l'utilisateur, y compris :

  • Données liées à l'authentification :
    • Adresse e-mail (primary_email) : Modifiable
    • Numéro de téléphone (primary_phone) : Modifiable
    • Nom d'utilisateur (username) : Modifiable
    • Mot de passe (has_password) : Vous pouvez régénérer un mot de passe aléatoire. En savoir plus sur "Réinitialiser le mot de passe utilisateur".
    • Authentification multi-facteurs (MFA) (mfa_verification_factor) : Voir tous les facteurs d'authentification (par exemple, clés de passe, applications d'authentification, codes de secours) que cet utilisateur a configurés. Les facteurs peuvent être supprimés dans le Console.
    • Clés de passe : Lorsque la connexion par clé de passe est activée dans le locataire, vous pouvez également voir les clés de passe de connexion de l'utilisateur sur la page des détails de l'utilisateur et les supprimer si nécessaire. Ces clés de passe sont soutenues par le même modèle d'identification WebAuthn utilisé par MFA.
    • Jeton d'accès personnel : Créer, voir, renommer et supprimer des jetons d'accès personnels.
  • Connexion :
    • Connexions sociales (identities) :
      • Voir les comptes sociaux liés de l'utilisateur, y compris les identifiants sociaux et les détails de profil synchronisés depuis leurs fournisseurs sociaux (par exemple, une entrée "Facebook" apparaîtra si l'utilisateur s'est connecté via Facebook).
      • Vous pouvez supprimer les identités sociales existantes, mais vous ne pouvez pas lier de nouveaux comptes sociaux au nom de l'utilisateur.
      • Pour les connecteurs sociaux avec stockage de jetons activé, vous pouvez voir et gérer les jetons d'accès et les jetons de rafraîchissement sur la page de détails de la connexion.
    • Connexions SSO d’entreprise (sso_identities) :
      • Voir les identités d'entreprise liées de l'utilisateur, y compris les identifiants d'entreprise et les détails de profil synchronisés depuis leurs fournisseurs d'identité d'entreprise.
      • Vous ne pouvez pas ajouter ou supprimer des identités SSO d’entreprise dans le Console.
      • Pour les connecteurs d'entreprise basés sur OIDC avec stockage de jetons activé, vous pouvez voir et supprimer les jetons sur la page de détails de la connexion.
  • Données de profil utilisateur : nom, URL de l'avatar, données personnalisées et revendications standard OpenID Connect supplémentaires qui ne sont pas incluses. Tous ces champs de profil sont modifiables.
  • Sessions : Voir la liste des sessions actives de l'utilisateur, y compris les informations sur l'appareil, l'ID de session et la localisation GEO si applicable. Voir plus de détails sur une session et la révoquer sur la page de détails de la session.
attention:

Il est important de confirmer que l'utilisateur dispose d'une méthode de connexion alternative avant de supprimer une connexion sociale, telle qu'une autre connexion sociale, un numéro de téléphone, un e-mail ou un nom d'utilisateur avec mot de passe. Si l'utilisateur n'a pas d'autre méthode de connexion, il ne pourra plus accéder à son compte une fois la connexion sociale supprimée.

Voir les activités de l'utilisateur

Pour voir les activités récentes d'un utilisateur, accédez à l'onglet "Journaux de l'utilisateur" sur la page des "Détails de l'utilisateur". Ici, vous pouvez trouver un tableau qui affiche les activités récentes de l'utilisateur, y compris l'action effectuée, le résultat de l'action, l'application concernée et le moment où l'utilisateur a agi.

Cliquez sur la ligne du tableau pour voir plus de détails dans le journal de l'utilisateur, par exemple, l'adresse IP, l'agent utilisateur, les données brutes, etc.

Suspendre un utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Suspendre l'utilisateur".

Une fois qu'un utilisateur est suspendu, il ne pourra plus se connecter à votre application et ne pourra pas obtenir un nouveau jeton d’accès après l'expiration de l'actuel. De plus, toute requête API effectuée par cet utilisateur échouera.

Si vous souhaitez réactiver cet utilisateur, vous pouvez le faire en cliquant sur "Trois points" -> bouton "Réactiver l'utilisateur".

Supprimer un utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Supprimer". La suppression d'un utilisateur ne peut pas être annulée.

Réinitialiser le mot de passe de l'utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Réinitialiser le mot de passe", puis Logto régénérera automatiquement un mot de passe aléatoire.

Après avoir réinitialisé le mot de passe, copiez-le et envoyez-le à l'utilisateur final. Une fois la fenêtre modale "Réinitialiser le mot de passe" fermée, vous ne pourrez plus voir le mot de passe. Si vous oubliez de le conserver, vous pouvez le réinitialiser à nouveau.

Vous ne pouvez pas définir un mot de passe spécifique pour les utilisateurs dans le Logto Console, mais vous pouvez utiliser le Management API PATCH /api/users/{userId}/password pour spécifier un mot de passe.

Gérer les sessions actives de l'utilisateur

Sur la page "Détails de l'utilisateur", accédez à la page "Détails de la session" en cliquant sur le bouton "Gérer" d'une session spécifique. Ici, vous pouvez voir des informations détaillées sur la session, telles que l'appareil, la localisation et l'heure de connexion. Si vous souhaitez déconnecter l'utilisateur de cette session, cliquez simplement sur le bouton "Révoquer la session" dans le coin supérieur droit, et la session sera immédiatement révoquée.

  • Par défaut, la révocation d'une session sur le Console révoquera également toutes les autorisations d'application de première partie associées à cette session, et l'utilisateur devra se reconnecter pour restaurer l'accès. Tous les jetons d’accès opaques et les jetons de rafraîchissement pré-émis pour les applications de première partie seront également révoqués immédiatement.
  • Pour les applications tierces avec la portée offline_access, la révocation d'une session ne révoque pas l'autorisation de l'application par défaut, les jetons de rafraîchissement pré-émis peuvent toujours être utilisés jusqu'à l'expiration de l'autorisation.

Gérer les applications tierces autorisées par l'utilisateur

Sur la page "Détails de l'utilisateur", vous pouvez utiliser la section "Applications tierces autorisées" pour examiner le statut d'autorisation des applications pour l'utilisateur. Cette section est soutenue par les APIs de gestion des applications autorisées par l'utilisateur (autorisations).

Pour chaque application autorisée, le Console affiche :

  • Nom de l'application
  • ID de l'application
  • Heure de création de l'accès

Si vous devez supprimer l'accès, cliquez sur l'action de révocation et confirmez dans la fenêtre modale.

La révocation d'une autorisation d'application supprime toutes les autorisations tierces actives associées à cette application pour l'utilisateur. Elle révoquera également immédiatement tous les jetons d’accès opaques et les jetons de rafraîchissement pré-émis pour cette application.

Vérification de la conformité des mots de passe

Après avoir mis à jour la politique de mot de passe dans Logto, les utilisateurs existants peuvent toujours se connecter avec leurs mots de passe actuels. Seuls les nouveaux comptes créés devront suivre la politique de mot de passe mise à jour.

Pour renforcer la sécurité, vous pouvez utiliser l'API POST /api/sign-in-exp/default/check-password API pour vérifier si le mot de passe d'un utilisateur respecte la politique actuelle définie dans l'expérience de connexion par défaut. Si ce n'est pas le cas, vous pouvez inviter l'utilisateur à mettre à jour son mot de passe avec un flux personnalisé en utilisant Account API.

Gérer les rôles des utilisateurs

Dans l'onglet "Rôles" de la page des détails de l'utilisateur, vous pouvez facilement attribuer ou supprimer des rôles pour atteindre votre objectif souhaité. Consultez Contrôle d’accès basé sur les rôles pour plus de détails.

Voir les organisations auxquelles l'utilisateur appartient

Logto prend en charge les organisations et peut gérer leurs membres. Vous pouvez facilement voir les détails de l'utilisateur et voir à quelle organisation il appartient.

Gérer via Logto Management API

Management API est un ensemble d'APIs qui fournissent un accès au service backend de Logto. Comme mentionné précédemment, l'API utilisateur est un composant critique de ce service et peut prendre en charge un large éventail de scénarios.

Les APIs RESTful liées aux utilisateurs sont montées sur /api/users à l'exception des activités des utilisateurs, c'est-à-dire les journaux des utilisateurs /api/logs?userId=:userId.

Vous pouvez gérer les utilisateurs via le Management API dans plusieurs cas d'utilisation. Tels que recherche avancée d'utilisateurs, création de comptes en masse, inscription sur invitation uniquement, etc.

FAQs

Comment restreindre l'accès à certaines applications pour des utilisateurs spécifiques ?

En raison de la nature de l'Omni-sign-in de Logto, il n'est pas conçu pour restreindre l'accès des utilisateurs à certaines applications avant l'authentification. Cependant, vous pouvez toujours concevoir des rôles et des permissions spécifiques à l'application pour protéger vos ressources API, et valider les permissions lors de l'accès à l'API après une connexion réussie de l'utilisateur. Consultez Autorisation : Contrôle d’accès basé sur les rôles pour plus d'informations.