Logto-tuotepäivitykset
Logto v1.41.0 tuo sovellustason käyttöoikeudet, salasanan vanhenemiskäytännöt, merkittävät Account Center -päivitykset, muokattavat käyttäjätunnus- ja vahvistuskoodisäännöt, turvallisemman viestien toimituksen sekä erän protokolla- ja tietoturvavahvistuksia.
Developer
Logto v1.41.0 on valvonta- ja tietoturvapainotteinen julkaisu. Se antaa tiimeille tarkemmat mahdollisuudet päättää, kuka voi käyttää mitäkin sovellusta, kattavammat salasanan elinkaaren hallintatoiminnot sekä huomattavasti kehittyneemmän Account Centerin loppukäyttäjille. Samalla se tiukentaa vahvistuskoodin toimitusta, käyttäjätunnuksen sääntöjä, SAML/OIDC -käsittelyä, MFA-uusintasuojauksia ja itseisännöityjen asennusten päivityspolkuja. Tässä uutta.
Sovellustason käyttöoikeudet
Voit nyt rajoittaa pääsyä sovellukseen suoraan Logton kautta. Käyttösäännöt voivat kohdistua tiettyihin käyttäjiin, käyttäjärooleihin, organisaatioihin tai organisaatiorooleihin.
Kun käyttäjä ei täytä valittuja sääntöjä, Logto estää kirjautumisen tai sovelluspolun pääsyvirtauksen näyttämällä pääsy evätty -sivun estäen pyynnön etenemisen. Tämän ansiosta sovelluksen julkaisu, asiakaskohtaiset pääsyoikeudet, sisäisten työkalujen suojaus ja organisaatiorajattu pääsy on helpompi hallita ilman, että päätöstä tarvitsee työntää sovelluskoodiin asti.
Katso sovellustason käyttöoikeusdokumentaatio koko asetusprosessiin.
Salasanan vanhenemiskäytännöt
Konsoli tukee nyt vuokralaistason salasanan vanhentamista kohdassa Tietoturva > Salasanakäytännöt.
Ylläpitäjät voivat ottaa käyttöön vanhenevat salasanat, määrittää kuinka monta päivää salasana pysyy voimassa sekä vanhentaa yksittäisen käyttäjän salasanan manuaalisesti käyttäjätietosivulta. Kun salasana vanhenee, käyttäjän tulee nollata se valitulla palautusmenetelmällä ennen kuin kirjautuminen salasanalla voi jatkua.
SSO- ja kirjautuminen avaimella eivät vaikutu. Vanhoille käyttäjille, joiden salasanan vaihtoaikaa ei ole kirjattu, Logto kiinnittää ajan käytännön käyttöönottohetkeen, jotta he saavat koko voimassaoloajan eivätkä vanhene heti.
Account Centeriin lisää omatoimisia hallintatyökaluja
Account Center jatkaa kasvuaan täysiveriseksi omatoimiseksi identiteettialustaksi loppukäyttäjille.
Tässä julkaisussa lisätään istunnon hallinta, yhdistettyjen kolmansien osapuolien sovellusten tarkastelu, profiilihallinta, avatarin lataus, avatarin lataus rekisteröityessä, itsenäinen avainhallinta ja käyttäjäasetukset kirjautumisavaimen käytölle.
Account Centerin profiilisivu, mukautetut profiilikentät rekisteröityessä ja avatarin latausrajapinnat on myös avattu dev-ominaisuustestauksien takaa.
Tänne osui myös muutama tärkeä korjaus:
- Teema, alusta ja brändivärit otetaan käyttöön ennen hydraatiota visuaalisen vilkkeen vähentämiseksi.
- Step-up -vahvistus on rajattu käyttäjän oikeustietueisiin.
- Sosiaalitilit voidaan liittää ilman salasanaa, sähköpostia tai puhelinvahvistusta, jos käyttäjällä ei ole perinteisiä tietoturvavahvistuksia.
- Konsoli ohjaa käyttäjätunnuksen muokkauksen Account Centeriin, jotta tarvittavat vahvistukset voidaan suorittaa loppuun.
Käyttäjätunnus- ja vahvistuskoodikäytännöt
Vuokralaistason käyttäjätunnussäännöt ovat nyt asetettavissa kohdassa Konsoli > Kirjautumiskokemus > Rekisteröinti ja kirjautuminen > Lisäasetukset.
Käytäntö kattaa kirjainkoon erottelun, pituusrajat ja sallitut merkkityypit. Se on voimassa kaikissa käyttäjätunnuksen kirjoituksissa: rekisteröitymisessä, profiilin täytössä, Account Centerissä, Account API:ssa ja /me-pisteessä.
Kirjainkoon erottelun vaihtaminen vartioidaan: Logto tarkistaa onko olemassa käyttäjätunnuksia, jotka eroavat vain kirjainkoolla ja estää politiikan muutoksen kunnes ristiriidat on ratkaistu. OIDC:n preferred_username-väite käyttää nyt myös käyttäjän username:a, kun profile.preferredUsername ei ole asetettu.
Vahvistuskoodin asetukset ovat nyt myös Konsolin tietoturva-asetuksissa. Ylläpitäjät voivat määrittää vahvistuskoodin voimassaoloajan ja sallittujen yritysten enimmäismäärän.
Turvallisempi viestien toimitus
Logto asettaa nyt järjestelmätason vastaanottajakohtaisen lähetysrajoituksen sähköposti-/SMS-vahvistuksille ja kutsuille kaikissa lähetyspoluissa, kuten Experience, MFA, Account API, Management API, /me, organisaatiokutsut ja vanha vuorovaikutusrajapinta.
Kun lähetys kuristetaan, Logto lähettää Message.RateLimited-verkkokoukutapahtuman, joka on nyt valittavissa Konsolin verkkokoukkuasetuksissa.
Vahvistuskoodin toimitus tuntemattomille vastaanottajille estetään myös, kun rekisteröinti on pois päältä, mikä alentaa tilien arvailun riskiä.
JWT-muokkaaja ja API-parannukset
Organisaation API-resurssitunnisteiden osalta käyttöoikeustunnisteen JWT-muokkaaja saa nyt context.organization-tietueen, jossa on kohdeorganisaation id, name, description ja customData.
Tämä helpottaa organisaatiokohtaisten väitteiden lisäämistä ilman, että kaikki organisaatiokartat pitää leipoa jokaiseen tunnisteeseen.
Muutama API-parannus myös julkaistiin:
POST /api/applications/:applicationId/roleson nyt idempotentti. Olemassa olevat roolit ohitetaan eikä palauteta enää422 application.role_exists.- Päätepiste palauttaa nyt
201rakenteessa{ roleIds, addedRoleIds }, linjassa käyttäjäroolien API-muotoilun kanssa. - Organisaatioroolin luonti alkuoikeuksilla on nyt transaktionaalista; virheelliset scope-id:t eivät enää jätä puoliksi luotuja rooleja.
Tietoturva- ja protokollavahvistuksia
Tämä julkaisu sisältää sarjan täsmättyjä protokolla- ja tietoturvakorjauksia:
- SAML IdP:n automaattisesti täytetyt lomakkeet pakenevat nyt HTML-attribuutit ja hylkivät ei-HTTP(S) -toimintakohteet.
samlifyon päivitetty versioon 2.13.0, jolloin SAML-lausumien XML-pakoilu on parempaa.- TOTP MFA -vahvistus hylkää uudelleen käytetyt koodit samalta tai aiemmalta aikaleimalta.
- OIDC-pyynnön runko, joka sisältää null-tavuja, palauttaa nyt
400 invalid_request. - Audit log -payloadit siivoavat null-tavut ennen tietokantaan menoa.
- Sähköpostin osoitekoodaus mustalista ei enää rakenna regexejä käyttäjäohjatusta syötteestä.
- Logto Tunnel estää staattisen tiedoston pyynnöt lukemasta kokemuspolun ulkopuolelle.
Yhteensopivuus- ja tallennuskorjauksia on mukana myös: vanhat Safari- ja iOS 15 -versiot eivät enää kaadu käynnistyksessä tuettoman regex lookbehindin takia, OIDC-yrityskonnektorit hakevat discovery-konfiguraation palvelimilta, jotka eivät sopimalla hyväksy pelkästään JSON-vastauksia, ja mukautetut käyttöliittymävaraston Azure Blob -kuljetuksen virheet voivat nyt virhetilanteessa yrittää lataamisen uudestaan.
Uudet ja parannetut yhdistimet
Tämä julkaisu lisää ja parantaa useita yhdintimiin liittyviä ominaisuuksia:
- Uusi SMTP2GO-sähköpostiyhdistin autentikaatioviestien lähetykseen SMTP2GO API:n kautta.
- QQ-yhtyminen sosiaaliseen identiteettivahvistukseen tallennetulla uudelleenohjaus-URL:llä.
- SAML-yhdistimen päivitys uuteen
samlify-versioon ja sen tarkempiin paluuarvotyyppeihin. - Connector Kit vie nyt myös MailJunkyn käyttämät yhteiset SMTP-laatikon jäsentely- ja muotoilutyökalut kehittäjien käyttöön.
Itseisännöidyt käyttäjät
Tietokantamigraatio vaaditaan v1.41.0-versiossa. Julkaisu sisältää kaaviomuutokset salasanan vanhenemista, käyttäjätunnuksen käytäntöä, vahvistuskoodipolitiikkaa, viestinopeusindeksejä, Account Centerin oletuksia ja palvelulokin indeksejä varten.
Päivityksen jälkeen suorita tietokannan muutoskomento ennen uuden version käynnistämistä. Katso päivitysohjeet tarkemmat tiedot.
CASE_SENSITIVE_USERNAME -ympäristömuuttuja on nyt käytöstä poistettu. Se toimii yhä ajoaikaisena ohituksena, mutta käyttäjätunnuksen kirjainkoherkkyys tulee säätää vuokralaistasolla uuden käytännön mukaan. Ympäristömuuttuja poistetaan seuraavassa suuremmassa julkaisuversiossa.
Käy käsiksi
Valmis päivittämään? Katso päivitysohjeet vaihe vaiheelta etenemiseen.
Kaikki muutokset näet GitHubin julkaisusivulta.
Kysyttävää tai palautetta? Liity keskusteluun Discordissa tai avaa issue GitHubissa.