จัดการผู้ใช้
จัดการผ่าน Logto Console
เรียกดูและค้นหาผู้ใช้
เพื่อเข้าถึงฟังก์ชันการจัดการผู้ใช้ใน Logto Console ให้ไปที่ Console > การจัดการผู้ใช้ เมื่ออยู่ที่นั่น คุณจะเห็นมุมมองตารางของผู้ใช้ทั้งหมด
ตารางประกอบด้วยสามคอลัมน์:
- ผู้ใช้: แสดงข้อมูลเกี่ยวกับผู้ใช้ เช่น รูปประจำตัว ชื่อเต็ม ชื่อผู้ใช้ หมายเลขโทรศัพท์ และอีเมล
- จากแอปพลิเคชัน: แสดงชื่อแอปพลิเคชันที่ผู้ใช้ลงทะเบียนครั้งแรก
- การลงชื่อเข้าใช้ล่าสุด: แสดงเวลาที่ผู้ใช้ลงชื่อเข้าใช้ล่าสุด
รองรับการแมปคีย์เวิร์ดสำหรับ name, id, username, primary-phone, primary-email
เพิ่มผู้ใช้
โดยใช้ Console นักพัฒนาสามารถสร้างบัญชีใหม่สำหรับผู้ใช้ปลายทางได้ ในการทำเช่นนั้น ให้คลิกที่ปุ่ม "เพิ่มผู้ใช้" ที่มุมขวาบนของหน้าจอ
เมื่อสร้างผู้ใช้ใน Logto Console หรือผ่าน Management API (ไม่ใช่ผู้ใช้ปลายทางที่ลงทะเบียนด้วยตนเองผ่าน UI) คุณต้องระบุอย่างน้อยหนึ่งตัวระบุ: primary email, primary phone, หรือ username ฟิลด์ name เป็นทางเลือก
หลังจากสร้างผู้ใช้แล้ว Logto จะสร้างรหัสผ่านแบบสุ่มโดยอัตโนมัติ รหัสผ่านเริ่มต้นจะแสดงเพียงครั้งเดียว แต่คุณสามารถ รีเซ็ตรหัสผ่าน ได้ในภายหลัง หากคุณต้องการตั้งค่ารหัสผ่านเฉพาะ ให้ใช้ Management API patch /api/users/{userId}/password เพื่ออัปเดตหลังจากสร้างผู้ใช้แล้ว
คุณสามารถคัดลอก ตัวระบุที่ป้อน (ที่อยู่อีเมล / หมายเลขโทรศัพท์ / ชื่อผู้ใช้) และ รหัสผ่านเริ่มต้น ได้ด้วยคลิกเดียว ทำให้ง่ายต่อการแชร์ข้อมูลรับรองเหล่านี้กับผู้ใช้ใหม่เพื่อให้พวกเขาสามารถลงชื่อเข้าใช้และเริ่มต้นได้
หากคุณต้องการใช้การลงทะเบียนเฉพาะผู้ที่ได้รับเชิญ เราแนะนำให้ เชิญผู้ใช้ด้วยลิงก์เวทมนตร์ ซึ่งจะอนุญาตให้เฉพาะผู้ใช้ที่อยู่ในรายการที่อนุญาตเท่านั้นที่สามารถลงทะเบียนด้วยตนเองและตั้งรหัสผ่านของตนเองได้
ดูและอัปเดตโปรไฟล์ผู้ใช้
เพื่อดูรายละเอียดของผู้ใช้ เพียงคลิกที่แถวที่สอดคล้องกันในตารางผู้ใช้ ซึ่งจะนำคุณไปยังหน้า "รายละเอียดผู้ใช้" ที่คุณสามารถดูข้อมูลโปรไฟล์ของผู้ใช้ได้ รวมถึง:
- ข้อมูลที่เกี่ยวข้องกับการยืนยันตัวตน:
- ที่อยู่อีเมล (primary_email): สามารถแก้ไขได้
- หมายเลขโทรศัพท์ (primary_phone): สามารถแก้ไขได้
- ชื่อผู้ใช้ (username): สามารถแก้ไขได้
- รหัสผ่าน (has_password): คุณสามารถสร้างรหัสผ่านแบบสุ่มใหม่ได้ เรียนรู้เพิ่มเติมเกี่ยวกับ "รีเซ็ตรหัสผ่านผู้ใช้"
- การยืนยันตัวตนหลายปัจจัย (MFA) (mfa_verification_factor): ดูปัจจัยการยืนยันตัวตนทั้งหมด (เช่น passkeys, แอปยืนยันตัวตน, รหัสสำรอง) ที่ผู้ใช้ตั้งค่าไว้ สามารถลบปัจจัยใน Console ได้
- Passkeys: เมื่อ การลงชื่อเข้าใช้ด้วย passkey เปิดใช้งานในผู้เช่า คุณสามารถดู passkeys การลงชื่อเข้าใช้ของผู้ใช้ในหน้ารายละเอียดผู้ใช้และลบออกได้หากจำเป็น Passkeys เหล่านี้ได้รับการสนับสนุนโดยโมเดล WebAuthn credential เดียวกันที่ใช้โดย MFA
- โทเค็นการเข้าถึงส่วนบุคคล: สร้าง ดู เปลี่ยนชื่อ และลบ โทเค็นการเข้าถึงส่วนบุคคล
- การเชื่อมต่อ:
- การเชื่อมต่อโซเชียล (identities):
- ดูบัญชีโซเชียลที่เชื่อมโยงของผู้ใช้ รวมถึง ID โซเชียลและรายละเอียดโปรไฟล์ที่ซิงค์จากผู้ให้บริการโซเชียลของพวกเขา (เช่น จะมีรายการ "Facebook" ปรากฏขึ้นหากผู้ใช้ลงชื่อเข้าใช้ผ่าน Facebook)
- คุณสามารถลบตัวตนโซเชียลที่มีอยู่ได้ แต่ไม่สามารถเชื่อมโยงบัญชีโซเชียลใหม่ในนามของผู้ใช้ได้
- สำหรับตัวเชื่อมต่อโซเชียลที่เปิดใช้งาน การจัดเก็บโทเค็น คุณสามารถดูและจัดการโทเค็นการเข้าถึงและโทเค็นรีเฟรชในหน้ารายละเอียดการเชื่อมต่อได้
- การเชื่อมต่อ Enterprise SSO (sso_identities):
- ดูตัวตนองค์กรที่เชื่อมโยงของผู้ใช้ รวมถึง ID องค์กรและรายละเอียดโปรไฟล์ที่ซิงค์จากผู้ให้บริการข้อมูลระบุตัวตนขององค์กร
- คุณไม่สามารถเพิ่มหรือลบตัวตน Enterprise SSO ใน Console ได้
- สำหรับตัวเชื่อมต่อองค์กรที่ใช้ OIDC ที่เปิดใช้งาน การจัดเก็บโทเค็น คุณสามารถดูและลบโทเค็นในหน้ารายละเอียดการเชื่อมต่อได้
- การเชื่อมต่อโซเชียล (identities):
- ข้อมูลโปรไฟล์ผู้ใช้: ชื่อ, URL รูปประจำตัว, ข้อมูลที่กำหนดเอง, และการอ้างสิทธิ์มาตรฐาน OpenID Connect เพิ่มเติมที่ไม่รวมอยู่ ข้อมูลโปรไฟล์ทั้งหมดนี้สามารถแก้ไขได้
- เซสชัน: ดูรายการเซสชันที่ใช้งานของผู้ใช้ รวมถึงข้อมูลอุปกรณ์ sessionId และตำแหน่งที่ตั้งทางภูมิศาสตร์หากมี ดูรายละเอียดเพิ่มเติมของเซสชันและเพิกถอนในหน้ารายละเอียดเซสชัน
สิ่งสำคัญคือต้องยืนยันว่าผู้ใช้มีวิธีการลงชื่อเข้าใช้ทางเลือกก่อนที่จะลบการเชื่อมต่อโซเชียล เช่น การเชื่อมต่อโซเชียลอื่น หมายเลขโทรศัพท์ อีเมล หรือชื่อผู้ใช้พร้อมรหัสผ่าน หากผู้ใช้ไม่มีวิธีการลงชื่อเข้าใช้อื่น พวกเขาจะไม่สามารถเข้าถึงบัญชีของตนได้อีกเมื่อการเชื่อมต่อโซเชียลถูกลบ
ดูกิจกรรมของผู้ใช้
เพื่อดูการทำงานล่าสุดของผู้ใช้ ให้ไปที่แท็บย่อย "บันทึกผู้ใช้" ในหน้ารายละเอียดผู้ใช้ ที่นี่คุณจะพบตารางที่แสดงการทำงานล่าสุดของผู้ใช้ รวมถึงการกระทำที่ดำเนินการ ผลลัพธ์ของการกระทำ แอปพลิเคชันที่เกี่ยวข้อง และเวลาที่ผู้ใช้ดำเนินการ
คลิกที่แถวในตารางเพื่อดูรายละเอียดเพิ่มเติมในบันทึกผู้ใช้ เช่น ที่อยู่ IP, user agent, ข้อมูลดิบ ฯลฯ
ระงับผู้ใช้
ในหน้ารายละเอียดผู้ใช้ คลิกปุ่ม "สามจุด" -> "ระงับผู้ใช้"
เมื่อผู้ใช้ถูกระงับ ผู้ใช้จะไม่สามารถลงชื่อเข้าใช้แอปของคุณและจะไม่สามารถรับโทเค็นการเข้าถึงใหม่หลังจากที่โทเค็นปัจจุบันหมดอายุ นอกจากนี้ คำขอ API ใด ๆ ที่ทำโดยผู้ใช้นี้จะล้มเหลว
หากคุณต้องการเปิดใช้งานผู้ใช้นี้อีกครั้ง คุณสามารถทำได้โดยคลิกปุ่ม "สามจุด" -> "เปิดใช้งานผู้ใช้ใหม่"
ลบผู้ใช้
ในหน้ารายละเอียดผู้ใช้ คลิกปุ่ม "สามจุด" -> "ลบ" การลบผู้ใช้ไม่สามารถยกเลิกได้
รีเซ็ตรหัสผ่านผู้ใช้
ในหน้ารายละเอียดผู้ใช้ คลิกปุ่ม "สามจุด" -> "รีเซ็ตรหัสผ่าน" จากนั้น Logto จะสร้างรหัสผ่านแบบสุ่มใหม่โดยอัตโนมัติ
หลังจากที่คุณรีเซ็ตรหัสผ่านแล้ว ให้คัดลอกและส่งให้ผู้ใช้ปลายทาง เมื่อปิดหน้าต่าง "รีเซ็ตรหัสผ่าน" คุณจะไม่สามารถดูรหัสผ่านได้อีก หากคุณลืมเก็บไว้ คุณสามารถรีเซ็ตได้อีกครั้ง
คุณไม่สามารถตั้งรหัสผ่านเฉพาะสำหรับผู้ใช้ใน Logto Console แต่คุณสามารถใช้ Management API PATCH /api/users/{userId}/password เพื่อระบุรหัสผ่านได้
จัดการเซสชันที่ใช้งานของผู้ใช้
ในหน้ารายละเอียดผู้ใช้ ไปที่หน้ารายละเอียดเซสชันโดยคลิกที่ปุ่ม "จัดการ" ของเซสชันเฉพาะ ที่นี่คุณสามารถดูข้อมูลรายละเอียดเกี่ยวกับเซสชัน เช่น อุปกรณ์ ตำแหน่งที่ตั้ง และเวลาลงชื่อเข้าใช้ หากคุณต้องการออกจากระบบผู้ใช้จากเซสชันนี้ เพียงคลิกปุ่ม "เพิกถอนเซสชัน" ที่มุมขวาบน และเซสชันจะถูกเพิกถอนทันที
- โดยค่าเริ่มต้น การเพิกถอนเซสชันใน Console จะเพิกถอนการให้สิทธิ์แอปแรกทั้งหมดที่เกี่ยวข้องกับเซสชันนั้นด้วย และผู้ใช้จะต้องลงชื่อเข้าใช้อีกครั้งเพื่อกู้คืนการเข้าถึง โทเค็นการเข้าถึงทึบและโทเค็นรีเฟรชที่ออกล่วงหน้าให้กับแอปแรกจะถูกเพิกถอนทันที
- สำหรับแอปที่สามที่มีขอบเขต
offline_accessการเพิกถอนเซสชันจะไม่เพิกถอนการให้สิทธิ์แอปโดยค่าเริ่มต้น โทเค็นรีเฟรชที่ออกล่วงหน้าสามารถใช้งานได้จนกว่าการให้สิทธิ์จะหมดอายุ
จัดการแอปที่ได้รับอนุญาตจากผู้ใช้ที่สาม
ในหน้ารายละเอียดผู้ใช้ คุณสามารถใช้ส่วน "แอปที่ได้รับอนุญาตจากผู้ใช้ที่สาม" เพื่อตรวจสอบสถานะการอนุญาตแอปสำหรับผู้ใช้ ส่วนนี้ได้รับการสนับสนุนโดย API การจัดการแอปที่ได้รับอนุญาตจากผู้ใช้
สำหรับแต่ละแอปที่ได้รับอนุญาต Console จะแสดง:
- ชื่อแอป
- App ID
- เวลาสร้างการเข้าถึง
หากคุณต้องการลบการเข้าถึง ให้คลิกการกระทำเพิกถอนและยืนยันในหน้าต่าง
การเพิกถอนการอนุญาตแอปจะลบการให้สิทธิ์ที่สามทั้งหมดที่เกี่ยวข้องกับแอปนั้นสำหรับผู้ใช้ นอกจากนี้ยังจะเพิกถอนโทเค็นการเข้าถึงทึบและโทเค็นรีเฟรชที่ออกล่วงหน้าสำหรับแอปนั้นทันที
การตรวจสอบความสอดคล้องของรหัสผ่าน
หลังจากที่คุณอัปเดต นโยบายรหัสผ่าน ใน Logto ผู้ใช้ที่มีอยู่ยังคงสามารถลงชื่อเข้าใช้ด้วยรหัสผ่านปัจจุบันของพวกเขาได้ เฉพาะบัญชีที่สร้างใหม่เท่านั้นที่จะต้องปฏิบัติตามนโยบายรหัสผ่านที่อัปเดต
เพื่อบังคับใช้ความปลอดภัยที่แข็งแกร่งขึ้น คุณสามารถใช้ POST /api/sign-in-exp/default/check-password API เพื่อตรวจสอบว่ารหัสผ่านของผู้ใช้ตรงตามนโยบายปัจจุบันที่กำหนดไว้ในประสบการณ์การลงชื่อเข้าใช้เริ่มต้นหรือไม่ หากไม่ตรง คุณสามารถแจ้งให้ผู้ใช้อัปเดตรหัสผ่านของพวกเขาด้วยกระบวนการที่กำหนดเองโดยใช้ Account API
จัดการบทบาทของผู้ใช้
ในแท็บ "บทบาท" ของหน้ารายละเอียดผู้ใช้ คุณสามารถกำหนดหรือยกเลิกบทบาทได้อย่างง่ายดายเพื่อตอบสนองผลลัพธ์ที่คุณต้องการ ตรวจสอบ การควบคุมการเข้าถึงตามบทบาท (RBAC) สำหรับรายละเอียด
ดูองค์กรที่ผู้ใช้สังกัด
Logto รองรับ องค์กร และสามารถจัดการสมาชิกของพวกเขาได้ คุณสามารถดูรายละเอียดผู้ใช้และดูว่าเขาสังกัดองค์กรใดได้อย่างง่ายดาย
จัดการผ่าน Logto Management API
Management API เป็นชุดของ API ที่ให้การเข้าถึงบริการ backend ของ Logto ดังที่กล่าวไปแล้ว API ผู้ใช้เป็นส่วนสำคัญของบริการนี้และสามารถรองรับสถานการณ์ต่าง ๆ ได้หลากหลาย
API RESTful ที่เกี่ยวข้องกับผู้ใช้จะถูกติดตั้งที่ /api/users ยกเว้นกิจกรรมของผู้ใช้ เช่น บันทึกผู้ใช้ /api/logs?userId=:userId
คุณสามารถจัดการผู้ใช้ผ่าน Management API ในหลายกรณีการใช้งาน เช่น การค้นหาผู้ใช้ขั้นสูง, การสร้างบัญชีจำนวนมาก, การลงทะเบียนเฉพาะผู้ที่ได้รับเชิญ เป็นต้น
คำถามที่พบบ่อย
วิธีจำกัดการเข้าถึงแอปพลิเคชันบางอย่างสำหรับผู้ใช้เฉพาะ
เนื่องจากธรรมชาติของ Omni-sign-in ของ Logto จึงไม่ได้ออกแบบมาเพื่อจำกัดการเข้าถึงของผู้ใช้ไปยังแอปพลิเคชันบางอย่างก่อนการยืนยันตัวตน อย่างไรก็ตาม คุณยังสามารถออกแบบบทบาทและสิทธิ์ของผู้ใช้เฉพาะแอปเพื่อปกป้องทรัพยากร API ของคุณ และตรวจสอบสิทธิ์ในการเข้าถึง API เมื่อผู้ใช้ลงชื่อเข้าใช้สำเร็จ ดูเพิ่มเติมที่ การอนุญาต: การควบคุมการเข้าถึงตามบทบาท (RBAC) สำหรับข้อมูลเพิ่มเติม