Mise à jour du produit Logto : MFA, rotation de la clé de signature et domaine personnalisé pour tous les forfaits

Nous sommes ravis de vous annoncer que l'authentification multi-facteurs (MFA) est désormais disponible dans Logto Cloud et OSS !

Cette fonctionnalité est l'une des plus demandées par notre communauté. Parallèlement à cela, nous avons mis en place plusieurs améliorations de sécurité et d'expérience utilisateur. Plongeons dedans !

Authentification multi-facteurs (MFA)#

Saviez-vous que l'utilisation de l'authentification multi-facteurs (MFA) bloque un incroyable 99,9 % des piratages de comptes ? Vous pouvez désormais activer la MFA en un seul clic et prendre le contrôle de la sécurité utilisateur. Nous avons facilité la personnalisation de l'expérience de connexion avec ces méthodes :

• OTP de l'application d'authentification : les utilisateurs peuvent ajouter n'importe quelle application d'authentification qui prend en charge la norme TOTP, telle que Google Authenticator, Duo, etc.
• WebAuthn (Passkey) : les utilisateurs peuvent utiliser le protocole WebAuthn standard pour enregistrer une clé de sécurité matérielle, telle que les clés biométriques, Yubikey, etc.
• Codes de secours : les utilisateurs peuvent générer un ensemble de codes de secours à utiliser lorsqu'ils n'ont pas accès à d'autres méthodes de MFA.

Pour une transition en douceur, nous prenons également en charge la configuration de la politique MFA pour exiger la MFA pour l'expérience de connexion, ou pour permettre aux utilisateurs de choisir d'opter pour la MFA.

Consultez notre article de blog Intégration MFA en un clic pour en savoir plus.

Rotation de la clé privée OIDC et de la clé de cookie#

Désormais, dans la page des paramètres, vous pouvez facilement faire tourner la clé privée et la clé de cookie en quelques clics. Cette fonctionnalité est particulièrement utile lorsque vous souhaitez améliorer la sécurité en effectuant une rotation périodique des clés.

Par défaut, Logto utilise l'algorithme de signature EC pour les jetons JWT, garantissant la sécurité avec une signature plus courte. Cependant, pour les développeurs préférant l'algorithme de signature RS, l'option est disponible lors de la rotation de la clé privée.

Pour en savoir plus sur les JWT et les algorithmes de signature, nous vous recommandons de lire ces articles de blog :

• Qu'est-ce qu'un JSON Web Token (JWT) ?
• Introduction aux algorithmes de signature EC et RSA dans JWT

Domaine personnalisé pour tous les forfaits#

Nous rendons le domaine personnalisé disponible gratuitement pour tous les forfaits ! Cette fonctionnalité sera déployée dans les prochains jours. N'hésitez pas à nous contacter si vous avez des questions.

Nouveau site de référence API#

Nous avons rénové notre site de références API en adoptant bump.sh. Non seulement il a meilleure allure de notre point de vue, mais nous espérons aussi que vous le trouverez attrayant ! Découvrez-le ici.

Travail en cours#

Les fonctionnalités d'organisations et de single sign-on (SSO) pour les entreprises sont à l'horizon. Avec Logto, créer des applications multi-locataires et devenir prêt pour les entreprises ne sera plus un obstacle commercial.