Unsere [öffentliche Roadmap](https://logto.productlane.com/roadmap) ist zurück. Stimme für die Funktionen ab, die du brauchst, und hinterlasse gerne Kommentare! ## Konformität Wir sind offiziell SOC 2 Type I konform! 🎉 Eine Type II Prüfung steht bevor. ![SOC 2 Type I](https://uploads.strapi.logto.io/1/soc_2_fdc1807681.png) ## Just-in-Time-Bereitstellung für Organisationen Diese Funktion ermöglicht es Benutzern, automatisch der Organisation beizutreten und Rollen zugewiesen zu bekommen, sobald sie sich das erste Mal über einige Authentifizierungsmethoden anmelden. Du kannst Anforderungen festlegen, die für die Just-in-Time-Bereitstellung erfüllt werden müssen. Um diese Funktion zu nutzen, gehe zu den Organisationseinstellungen und finde den Abschnitt "Just-in-Time-Bereitstellung". Verwaltungsschnittstellen sind ebenfalls verfügbar, um diese Funktion über Routen unter `/api/organizations/{id}/jit` zu konfigurieren. Weitere Informationen findest du unter [Just-in-Time-Bereitstellung](https://docs.logto.io/docs/recipes/organizations/just-in-time-provisioning/). ![Organisation JIT Bereitstellung](https://uploads.strapi.logto.io/1/organization_jit_d5fc2549b8.webp) ### E-Mail-Domänen Neue Benutzer treten automatisch Organisationen mit Just-in-Time-Bereitstellung bei, wenn sie: - Sich mit verifizierten E-Mail-Adressen anmelden, oder; - Soziale Anmeldung mit verifizierten E-Mail-Adressen verwenden. Dies gilt für Organisationen, die dieselbe E-Mail-Domäne konfiguriert haben.

Klicken zum Erweitern

Um diese Funktion zu aktivieren, kannst du über die Verwaltungsschnittstelle oder die Logto-Konsole eine E-Mail-Domäne hinzufügen: - Wir haben die folgenden neuen Endpunkte zur Verwaltungsschnittstelle hinzugefügt: - `GET /organizations/{organizationId}/jit/email-domains` - `POST /organizations/{organizationId}/jit/email-domains` - `PUT /organizations/{organizationId}/jit/email-domains` - `DELETE /organizations/{organizationId}/jit/email-domains/{emailDomain}` - In der Logto-Konsole kannst du E-Mail-Domänen auf der Organisationsdetailseite im Abschnitt "Just-in-Time-Bereitstellung" verwalten.

### SSO-Connectoren Neue oder bestehende Benutzer, die sich zum ersten Mal über ein Unternehmens-SSO anmelden, treten automatisch Organisationen bei, die die Just-in-Time-Bereitstellung für den SSO-Connector konfiguriert haben.

Klicken zum Erweitern

Um diese Funktion zu aktivieren, kannst du SSO-Connectoren über die Verwaltungsschnittstelle oder die Logto-Konsole hinzufügen: - Wir haben die folgenden neuen Endpunkte zur Verwaltungsschnittstelle hinzugefügt: - `GET /organizations/{organizationId}/jit/sso-connectors` - `POST /organizations/{organizationId}/jit/sso-connectors` - `PUT /organizations/{organizationId}/jit/sso-connectors` - `DELETE /organizations/{organizationId}/jit/sso-connectors/{ssoConnectorId}` - In der Logto-Konsole kannst du SSO-Connectoren auf der Organisationsdetailseite im Abschnitt "Just-in-Time-Bereitstellung" verwalten.

### Standardrollen der Organisation Du kannst auch die Standardrollen für über diese Funktion bereitgestellte Benutzer konfigurieren. Die Standardrollen werden dem Benutzer zugewiesen, wenn er bereitgestellt wird.

Klicken zum Erweitern

Um diese Funktion zu aktivieren, kannst du die Standardrollen über die Verwaltungsschnittstelle oder die Logto-Konsole festlegen: - Wir haben die folgenden neuen Endpunkte zur Verwaltungsschnittstelle hinzugefügt: - `GET /organizations/{organizationId}/jit/roles` - `POST /organizations/{organizationId}/jit/roles` - `PUT /organizations/{organizationId}/jit/roles` - `DELETE /organizations/{organizationId}/jit/roles/{organizationRoleId}` - In der Logto-Konsole kannst du Standardrollen auf der Organisationsdetailseite im Abschnitt "Just-in-Time-Bereitstellung" verwalten.

## Maschinen-zu-Maschinen-Anwendungen für Organisationen Diese Funktion ermöglicht es, Maschinen-zu-Maschinen-Anwendungen mit Organisationen zu verknüpfen und ihnen Organisationsrollen zuzuweisen. **OpenID Connect-Berechtigung** Der `client_credentials` Berechtigungs-Typ wird nun für Organisationen unterstützt. Du kannst diesen Berechtigungs-Typ verwenden, um ein Zugriffstoken für eine Organisation zu erhalten.

Klicken zum Erweitern der Konsolen-Updates

- Füge eine neue "maschinell-zu-maschinell" Typ zu den Organisationsrollen hinzu. Alle bestehenden Rollen sind jetzt vom Typ "Benutzer". - Du kannst maschinell-zu-maschinell-Anwendungen auf der Organisationsdetailseite im Abschnitt Maschinen-zu-Maschinen-Anwendungen verwalten. - Du kannst die verknüpften Organisationen auf der Anwendungsdetailseite für Maschinen-zu-Maschinen-Anwendungen anzeigen.

Klicken zum Erweitern der Verwaltungsschnittstellen-Updates

Eine Reihe neuer Endpunkte wurden zur Verwaltungsschnittstelle hinzugefügt: - `/api/organizations/{id}/applications` zur Verwaltung von Maschinen-zu-Maschinen-Anwendungen. - `/api/organizations/{id}/applications/{applicationId}` zur Verwaltung einer spezifischen Maschinen-zu-Maschinen-Anwendung in einer Organisation. - `/api/applications/{id}/organizations` zur Anzeige der verknüpften Organisationen einer Maschinen-zu-Maschinen-Anwendung.

## Swagger (OpenAPI) Verbesserungen Ein großes Dankeschön an [@mostafa](https://github.com/mostafa) für diese großartigen Verbesserungen bei Logto! **Erstellung von `operationId` für die Verwaltungsschnittstelle in der OpenAPI-Antwort** Gemäß [der Spezifikation](https://swagger.io/docs/specification/paths-and-operations/): > `operationId` ist eine optionale eindeutige Zeichenfolge, die verwendet wird, um eine Operation zu identifizieren. Wenn angegeben, müssen diese IDs unter allen in deiner API beschriebenen Operationen eindeutig sein. Dies vereinfacht die Erstellung von Client-SDKs in verschiedenen Programmiersprachen erheblich, da es aussagekräftigere Funktionsnamen erzeugt, anstatt automatisch generierte, wie in den folgenden Beispielen: ```diff - org, _, err := s.Client.OrganizationsAPI.ApiOrganizationsIdGet(ctx, req.GetId()).Execute() + org, _, err := s.Client.OrganizationsAPI.GetOrganization(ctx, req.GetId()).Execute() ``` ```diff - users, _, err := s.Client.OrganizationsAPI.ApiOrganizationsIdUsersGet(ctx, req.GetId()).Execute() + users, _, err := s.Client.OrganizationsAPI.ListOrganizationUsers(ctx, req.GetId()).Execute() ``` **Behobene OpenAPI-Schemas, die vom `GET /api/swagger.json` Endpunkt zurückgegeben werden** - Das `:` Zeichen ist in Parameternamen wie `organizationId:root` ungültig. Diese Zeichen wurden durch `-` ersetzt. - Der `tenantId` Parameter der Route `/api/.well-known/endpoints/{tenantId}` fehlte im generierten OpenAPI-Spezifikationsdokument, was zu Validierungsfehlern führte. Dies wurde behoben. ## Back-Channel-Logout-Unterstützung Wir haben die Unterstützung für [OpenID Connect Back-Channel Logout 1.0](https://openid.net/specs/openid-connect-backchannel-1_0.html) aktiviert. Um dich für den Back-Channel-Logout anzumelden, gehe zur Anwendungsdetailseite in der Logto-Konsole und finde den Abschnitt "Back-Channel-Logout". Gib die Back-Channel-Logout-URL deines RP ein und klicke auf "Speichern". Du kannst auch Sitzungsanforderungen für den Back-Channel-Logout aktivieren. Wenn aktiviert, wird Logto den `sid` Anspruch im Logout-Token enthalten. Für die programmgesteuerte Registrierung kannst du die Eigenschaften `backchannelLogoutUri` und `backchannelLogoutSessionRequired` im `oidcClientMetadata` Objekt der Anwendung festlegen. ## Anmeldungserlebnis ### Unterstützung für Google One Tap Wenn du Google als sozialen Connector hinzugefügt hast, kannst du jetzt Google One Tap aktivieren, um deinen Benutzern mit Google-Konten ein reibungsloseres Anmeldungserlebnis zu bieten. Gehe zu den Google-Connector-Einstellungen in der Logto-Konsole und aktiviere die "Google One Tap" Option. ![Google One Tap](https://uploads.strapi.logto.io/1/google_one_tap_abed7522c4.webp) Weitere Informationen über Google One Tap findest du unter [Google One Tap aktivieren](https://docs.logto.io/docs/recipes/configure-connectors/social-connector/enable-google-one-tap/). ### Manuelles Verknüpfen von Konten während der Anmeldung überspringen erlauben Du findest diese Konfiguration in Konsole -> Anmeldungserlebnis -> Registrierung und Anmeldung -> Soziale Anmeldung -> Automatische Kontenverknüpfung. Wenn aktiviert, wird Logto das Konto automatisch mit der sozialen Identität verknüpfen, falls sich ein Benutzer mit einer neuen sozialen Identität anmeldet und genau ein bestehendes Konto mit derselben Kennung (z.B. E-Mail) existiert, anstatt den Benutzer zur Kontenverknüpfung aufzufordern. ### Zustimmung zu den Nutzungsbedingungen für das Anmeldungserlebnis Wir haben eine neue Konfiguration hinzugefügt, die es erlaubt, eine Zustimmung zu den Nutzungsbedingungen für das Anmeldungserlebnis festzulegen: - **Automatisch**: Benutzer stimmen den Bedingungen automatisch durch die Weiterverwendung des Dienstes zu. - **Nur bei manueller Registrierung**: Benutzer müssen den Bedingungen durch das Anklicken eines Kästchens während der Registrierung zustimmen und brauchen beim Anmelden nicht erneut zuzustimmen. - **Manuell**: Benutzer müssen den Bedingungen durch das Anklicken eines Kästchens während der Registrierung oder Anmeldung zustimmen. ## Verbesserungen der Konsole - Ruby- und Chrome-Erweiterungshandbücher hinzugefügt. - OIDC-Ausstellerendpunkt im Anwendungsdetailformular anzeigen. - Anwendungshandbücher wurden neu organisiert, um eine bessere Entwicklererfahrung zu bieten. - Du kannst jetzt die `Profil` Eigenschaft des Benutzers auf der Benutzereinstellungsseite ansehen und aktualisieren. - Verbesserte Benutzererfahrung in der Integration von Maschinen-zu-Maschinen-Anwendungen. - Ein Regression-Bug wurde behoben, bei dem Fehlermeldungen im Audit-Log auftauchten, wenn Protokolle mit gelöschten Anwendungen verknüpft waren. ## Weitere Verbesserungen - `hasPassword` zum benutzerdefinierten JWT-Benutzerkontext hinzugefügt. - Connector: Google und Azure AD Connectoren unterstützen jetzt benutzerdefinierte `prompt`. - Unterstützung der organisationsspezifischen Mehrfaktor-Authentifizierung: - Eine Organisation kann nun verlangen, dass ihre Mitglieder eine Mehrfaktor-Authentifizierung (MFA) eingerichtet haben. Wenn eine Organisation diese Anforderung hat und ein Mitglied keine MFA eingerichtet hat, kann das Mitglied das Organisationstoken nicht abrufen. - Ein Entwickler-Panel ist verfügbar, nachdem du dich für die Live-Vorschau angemeldet hast. - Paginierung ist jetzt optional für `GET /api/organizations/{id}/users/{userId}/roles`. Wenn du die `page` und `limit` Query-Parameter nicht angibst, wird die API alle Rollen zurückgeben. - Nutzerdetail-Daten-Payload zum Webhook-Ereignis `User.Deleted` hinzugefügt.