العربية
  • إصدار

تحديثات منتج Logto

يقدم Logto v1.41.0 التحكم في الوصول على مستوى التطبيق، وسياسات انتهاء صلاحية كلمات المرور، وترقيات رئيسية لمركز الحساب، وقواعد اسم المستخدم ورمز التحقق القابلة للتكوين، وتسليم الرسائل بشكل أكثر أمانًا، وجولة من تعزيزات البروتوكول والأمان.

Sijie
Sijie
Developer

توقف عن إضاعة أسابيع في مصادقة المستخدم
أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.
ابدأ الآن
Product screenshot

يعد Logto v1.41.0 إصدارًا يركز على التحكم والأمان. يوفر للفرق طرقًا أكثر دقة لتحديد من يمكنه الوصول إلى كل تطبيق، والمزيد من التحكم الكامل في دورة حياة كلمات المرور، ومركز حساب أقوى بكثير للمستخدمين النهائيين. كما يعزز أيضًا تسليم رموز التحقق، وقواعد أسماء المستخدمين، والتعامل مع SAML/OIDC، وحماية إعادة تشغيل المصادقة متعددة العوامل (MFA)، ومسارات ترقية الاستضافة الذاتية. إليك ما هو جديد.

التحكم في الوصول على مستوى التطبيق

يمكنك الآن تقييد الوصول إلى أحد التطبيقات مباشرة من Logto. يمكن لقواعد الوصول استهداف مستخدمين معينين، أو أدوار المستخدمين، أو المؤسسات، أو أدوار المؤسسة.

عندما لا يتطابق المستخدم مع مجموعة القواعد المكونة، يقوم Logto بحجب تدفق تسجيل الدخول أو الوصول إلى التطبيق من خلال صفحة رفض الوصول، بدلًا من السماح للطلب بالاستمرار. هذا يجعل طرح التطبيقات، والوصول المخصص للعملاء، وحماية الأدوات الداخلية، والوصول على مستوى المؤسسة أسهل في الإدارة من دون الحاجة لإدخال القرار بالكامل في كود التطبيق الخاص بك.

راجع وثائق التحكم في الوصول على مستوى التطبيق للاطلاع على سير التكوين الكامل.

سياسات انتهاء صلاحية كلمة المرور

يدعم "الكونسول" الآن انتهاء صلاحية كلمة المرور على مستوى المستأجر ضمن الأمان > سياسة كلمة المرور.

يمكن للمسؤولين تفعيل انتهاء صلاحية كلمة المرور، وتحديد عدد الأيام التي تظل فيها الكلمة صالحة، وإنهاء صلاحية كلمة مرور مستخدم معين يدويًا من صفحة تفاصيل المستخدم. عند انتهاء صلاحية كلمة المرور، يجب على المستخدم إعادة تعيينها من خلال طريقة الاسترداد المحددة قبل أن يتمكن من تسجيل الدخول بكلمة المرور.

تسجيلات الدخول عبر SSO ومفاتيح المرور (Passkey) لا تتأثر. يتم التعامل مع المستخدمين الحاليين الذين ليس لديهم طابع زمني لتغيير كلمة المرور بسلاسة: حيث يربطهم Logto بوقت تفعيل السياسة، بحيث يحصلون على فترة الصلاحية الكاملة بدلاً من انتهاء صلاحيتهم فورًا.

المزيد من خيارات الخدمة الذاتية في مركز الحساب

يواصل مركز الحساب النمو ليصبح سطح هوية متكامل للخدمة الذاتية للمستخدمين النهائيين.

يضيف هذا الإصدار إدارة الجلسات، ومراجعة التطبيقات الخارجية المتصلة، وإدارة الملف الشخصي، وتحميل الصورة الرمزية، وتحميل الصورة الرمزية أثناء التسجيل، وعناصر تحكم مستقلة بمفاتيح المرور، وتفضيل للمستخدم لمطالبة تسجيل الدخول بمفتاح المرور.

كما تم إطلاق صفحة الملف الشخصي في مركز الحساب، والحقول الشخصية المخصصة عند الاشتراك، ونقاط نهاية تحميل الصور الرمزية من بوابات الميزات التجريبية.

وهبطت هنا أيضًا بعض التصحيحات المهمة:

  • يتم تطبيق السمة والمنصة ولون العلامة التجارية قبل التحميل لتقليل الوميض البصري.
  • يتم قصر التحقق الإضافي على سجلات التحقق من أذونات المستخدم فقط.
  • يمكن ربط الهويات الاجتماعية دون تحقق من كلمة المرور أو البريد الإلكتروني أو الهاتف عندما لا يمتلك المستخدم طرق تحقق أمني قديمة.
  • أصبح تحرير اسم المستخدم في الكونسول الآن يعيد التوجيه إلى مركز الحساب بحيث يمكن إتمام التحقق المطلوب.

سياسات اسم المستخدم ورمز التحقق

يمكن الآن تكوين قواعد اسم المستخدم على مستوى المستأجر من الكونسول > تجربة تسجيل الدخول > الاشتراك وتسجيل الدخول > الخيارات المتقدمة.

تشمل السياسة حساسية الحالة (الحروف الكبيرة/الصغيرة)، وحدود الطول، وأنواع الأحرف المسموح بها. يتم تطبيقها عبر جميع عمليات كتابة اسم المستخدم للمستخدم النهائي، بما في ذلك الاشتراك، واستكمال الملف الشخصي، ومركز الحساب، وواجهة برمجة تطبيقات الحساب، و/me.

يتم حماية التحول إلى أسماء المستخدمين غير حساسة لحالة الأحرف: يتحقق Logto من وجود أسماء مستخدمين متشابهة باستثناء الحالة ويوقف تغيير السياسة حتى يتم حل التعارضات. كما تعود مطالبة preferred_username في OIDC الآن إلى username للمستخدم إذا كانت profile.preferredUsername غير محددة.

كما تنتقل إعدادات التحكم في رمز التحقق إلى إعدادات الأمان في الكونسول. يمكن للمسؤولين تعيين مدة صلاحية رمز التحقق وعدد المحاولات القصوى.

تسليم الرسائل بشكل أكثر أمانًا

يطبق Logto الآن حدًا لمعدل الإرسال لكل مستلم على مستوى النظام عبر جميع مسارات إرسال التحقق عبر البريد الإلكتروني/SMS والدعوات، بما في ذلك Experience، المصادقة متعددة العوامل، واجهة برمجة تطبيقات الحساب، واجهة برمجة تطبيقات الإدارة، /me، دعوات المؤسسات، وواجهة برمجة التفاعل الكلاسيكية.

عندما يتم تقييد الإرسال، يصدر Logto حدث webhook يسمى Message.RateLimited، والذي يمكن تحديده الآن في إعدادات webhook في الكونسول.

كما يتم منع تسليم رموز التحقق للمستلمين المجهولين عندما يكون التسجيل معطلاً، مما يقلل من خطر تحديد الحسابات بواسطة المخترقين.

تحسينات مخصصات JWT وواجهات برمجة التطبيقات

بالنسبة لرموز موارد واجهة برمجة تطبيقات المؤسسة، يحصل مخصص رمز الوصول JWT الآن على context.organization مع id, name, description, وcustomData الخاص بالمؤسسة المستهدفة.

يُسهل ذلك إضافة مطالبات مخصصة لكل مؤسسة دون تضمين كل تهيئة مؤسسة في كل رمز.

كما تم تحسين عدة نقاط لواجهة برمجة التطبيقات:

  • أصبح POST /api/applications/:applicationId/roles الآن عملية لا تؤدي إلى تكرار الأدوار؛ يتم تجاهل معرفات الأدوار الموجودة مسبقًا بدلاً من إرجاع 422 application.role_exists.
  • يعيد الآن نقطة النهاية استجابة 201 مع { roleIds, addedRoleIds }، مطابقة لشكل واجهة برمجة تطبيقات تعيين أدوار المستخدمين.
  • أصبحت عملية إنشاء دور مؤسسة مع نطاقات مبدئية الآن معامَلة، بحيث لم تعد معرفات النطاقات غير الصالحة تترك أدوارًا منشأة جزئيًا.

تعزيز الأمان والبروتوكول

يحتوي هذا الإصدار على مجموعة مركزة من تصحيحات البروتوكول والأمان:

  • أصبحت نماذج الإرسال التلقائي لـ SAML IdP تهرب قيم سمات HTML وتمنع عناوين URL الخاصة بالإجراءات غير الخاصة بـ HTTP(S).
  • تم ترقية samlify إلى ^2.13.0 لتحسين تهريب XML في التأكيدات المولدة لـ SAML.
  • ترفض مصادقة MFA من النوع TOTP الرموز المعاد استخدامها من نفس أو عداد الخطوة الزمنية الأقدم.
  • أصبحت طلبات OIDC التي تحتوي على بايتات null ترجع الآن 400 invalid_request.
  • تقوم سجلات التدقيق بحذف بايتات null من الحمولة قبل الإدراج.
  • لم تعد فحوصات القائمة السوداء لعناوين البريد الإلكتروني الفرعية تبني تعابير منتظمة استنادًا إلى مدخلات يتحكم بها المستخدم.
  • يمنع Logto Tunnel طلبات الملفات الثابتة من القراءة خارج مسار الخبرة المحدد.

هناك أيضًا تصحيحات توافق وتخزين: لم تعد الأجهزة التي تعمل بنظام Safari القديم و iOS 15 تتعطل عند بدء التشغيل بسبب عدم دعم نمط regex lookbehind، ويمكن لموصلات OIDC للشركات الحصول على التهيئة من مزوّدين يرفضون التفاوض على استجابات JSON فقط، كما أصبحت أخطاء نقل أصول واجهة المستخدم المخصصة عبر Azure Blob تُعامل الآن كأخطاء تنزيل قابلة لإعادة المحاولة.

الموصلات الجديدة والمحسّنة

يضيف ويحسّن هذا الإصدار عدة إمكانيات متعلقة بالموصلات:

  • موصل بريد إلكتروني جديد SMTP2GO لإرسال رسائل التحقق عبر API الخاص بـ SMTP2GO.
  • دعم موصل QQ للتحقق من الهوية الاجتماعية مع URI إعادة التوجيه المُخزن.
  • ترقية موصل SAML ليتوافق مع samlify وأنواع إرجاعه الأكثر صرامة.
  • تصدر مجموعة أدوات الموصلات الآن أدوات تحليل وتنسيق صناديق بريد SMTP المشتركة، والتي يستخدمها أيضًا MailJunky.

للمستخدمين الذين يستضيفون بأنفسهم

يتطلب الإصدار v1.41.0 ترحيل قاعدة البيانات. يشحن هذا الإصدار تغيرات في المخطط من ضمنها انتهاء صلاحية كلمة المرور، وسياسة اسم المستخدم، وسياسة رمز التحقق، وفهارس مراقبة معدل الرسائل، وإعدادات مركز الحساب الافتراضية، وفهارس سجلات الخدمة.

بعد الترقية، شغل أمر تعديل قاعدة البيانات قبل تشغيل الإصدار الجديد. راجع دليل الترقية للمزيد من التفاصيل.

متغير البيئة CASE_SENSITIVE_USERNAME أصبح الآن مهملًا. لا يزال يعمل كتجاوز في وقت التشغيل، ولكن يجب تكوين حساسية حالة اسم المستخدم لكل مستأجر من خلال سياسة اسم المستخدم الجديدة. من المقرر إزالة متغير البيئة في الإصدار الرئيسي التالي.

ابدأ الآن

هل أنت مستعد للترقية؟ اطلع على دليل الترقية للحصول على إرشادات خطوة بخطوة.

للاطلاع على القائمة الكاملة للتغييرات، راجع صفحة إصدار GitHub.

هل لديك أسئلة أو ملاحظات؟ انضم إلينا على Discord أو افتح تذكرة على GitHub.