Logto productupdates

Logto v1.41.0 is een release gericht op controle en beveiliging. Het biedt teams fijnmazigere mogelijkheden om te bepalen wie toegang heeft tot elke app, uitgebreidere levenscycluscontrole voor wachtwoorden en een veel capabeler Account Center voor eindgebruikers. Daarnaast worden de bezorging van verificatiecodes, gebruikersnaamregels, SAML/OIDC-afhandeling, MFA-hergebruikbescherming en upgradepaden voor self-hosting aangescherpt. Hier lees je wat er nieuw is.

Toegangscontrole op applicatieniveau#

Je kunt nu rechtstreeks vanuit Logto de toegang tot een applicatie beperken. Toegangsregels kunnen gericht zijn op specifieke gebruikers, gebruikersrollen, organisaties of organisatierollen.

Wanneer een gebruiker niet voldoet aan de ingestelde regelset, blokkeert Logto het aanmeld- of toegangstraject met een toegang geweigerd-pagina, in plaats van het verzoek door te laten. Dit maakt het uitrollen van apps, klantgerichte toegang, beveiliging van interne tools en toegang op organisatieniveau makkelijker te beheren zonder de volledige beslissing in je applicatiecode te hoeven verwerken.

Zie de documentatie over toegangscontrole op applicatieniveau voor de volledige set-up.

Wachtwoordverloopbeleid#

In de Console kun je nu op tenantniveau wachtenwoordverloop instellen onder Beveiliging > Wachtwoordbeleid.

Beheerders kunnen wachtwoordverloop inschakelen, instellen hoe lang een wachtwoord geldig blijft, en handmatig het wachtwoord van een specifieke gebruiker laten verlopen via de gebruikersdetailpagina. Wanneer een wachtwoord verloopt, moet de gebruiker dit resetten via de ingestelde herstelmethode voordat hij zich weer kan aanmelden met wachtwoord.

SSO en passkey-aanmelden worden niet beïnvloed. Bestaande gebruikers zonder vastgelegde tijd van wachtwoordwijziging worden soepel behandeld: Logto koppelt ze aan het moment waarop het beleid is ingeschakeld, zodat ze de volledige geldigheidsduur krijgen in plaats van direct te verlopen.

Account Center krijgt meer selfservice-voorzieningen#

Account Center groeit steeds verder uit tot een volledig selfservice-identiteitsplatform voor eindgebruikers.

Deze release voegt sessiebeheer, beoordeling van gekoppelde externe applicaties, profielbeheer, uploaden van avatars, uploaden van avatars tijdens profielinzameling bij registratie, onafhankelijke passkey-instellingen en een gebruikersvoorkeur voor passkey-aanmeldprompts toe.

De Account Center-profielpagina, aangepaste profiervelden bij registratie en avatar-upload endpoints zijn nu ook vrijgegeven uit dev feature gates.

Ook zijn er een aantal belangrijke fixes doorgevoerd:

• Thema, platform en merk-kleur worden vóór hydration toegepast om visuele flikkering te verminderen.
• Step-up verificatie is beperkt tot gebruikersmachtiging verificaties.
• Social identities kunnen gelinkt worden zonder wachtwoord, e-mail of telefoonverificatie wanneer de gebruiker geen legacy beveiligingsverificatiemethoden heeft.
• Console gebruikersnaam bewerken leidt nu naar Account Center zodat de vereiste verificatie kan worden afgerond.

Gebruikersnaam- en verificatiecodebeleid#

Regels op tenantniveau voor gebruikersnamen zijn nu configureerbaar via Console > Aanmeldervaring > Registratie en aanmelden > Geavanceerde opties.

Het beleid bepaalt hoofdlettergevoeligheid, lengtegrenzen en toegestane tekentypen. Dit wordt afgedwongen over alle gebruikersnaamschrijfacties, waaronder registratie, profielaanvulling, Account Center, Account API en /me.

Omschakelen naar hoofdletterongevoelige gebruikersnamen is beveiligd: Logto controleert op bestaande gebruikersnamen die alleen qua hoofdlettergebruik verschillen en blokkeert de beleidswijziging totdat de conflicten zijn opgelost. De OIDC preferred_username-claim valt nu ook terug op de username van de gebruiker wanneer profile.preferredUsername niet is ingesteld.

Ook worden verificatiecoderegels verplaatst naar de Console-beveiligingsinstellingen. Beheerders kunnen vervaltijd van verificatiecodes en het maximum aantal pogingen instellen.

Veiliger berichtaflevering#

Logto hanteert nu een systeemwaarlijk verzendlimiet per ontvanger over e-mail/SMS-verificatie en uitnodigingspaden, inclusief Experience, MFA, Account API, Management API, /me, organisatie-uitnodigingen en de legacy interaction API.

Wanneer een verzending wordt vertraagd (throttled), verstuurt Logto een Message.RateLimited webhook-event, dat nu selecteerbaar is in Console-webhookinstellingen.

Verificatiecodeverzending naar onbekende ontvangers wordt ook onderdrukt wanneer registratie uitgeschakeld is, om accountenumeratierisico te beperken.

JWT customizer en API-verbeteringen#

Voor organisatie-API-resourcetokens krijgt de access token JWT customizer nu context.organization met het id, de naam, beschrijving en customData van de doelorganisatie.

Hiermee kun je eenvoudiger claims per organisatie toevoegen zonder alle organisatiekoppelingen in elke token te embedden.

Er zijn ook enkele API-verbeteringen:

• POST /api/applications/:applicationId/roles is nu idempotent. Bestaande rol-IDs worden genegeerd in plaats van een 422 application.role_exists terug te geven.
• De endpoint geeft nu 201 terug met { roleIds, addedRoleIds }, wat overeenkomt met het aanmaakpatroon van gebruikersrollen-API.
• Organisatierol-aanmaak met initiële scopes is nu transactioneel: ongeldige scope-IDs leiden niet langer tot gedeeltelijk aangemaakte rollen.

Versteviging van beveiliging en protocollen#

Deze release bevat een gerichte set protocol-/beveiligingsfixes:

• SAML IdP auto-submit formulieren escapen nu HTML-attribuutwaarden en weigeren niet-HTTP(S) action-URL's.
• samlify is geüpgraded naar ^2.13.0 voor verbeterde XML-escaping in gegenereerde SAML-verklaringen.
• TOTP MFA-verificatie weigert hergebruikte codes van dezelfde of eerdere tijdstap.
• OIDC-requestbodys met null-bytes geven nu 400 invalid_request terug.
• Auditlog-payloads ontdoen null-bytes voorafgaand aan insertie.
• E-mail subaddressing blocklist-controles bouwen geen reguliere expressies meer op basis van gebruikersinvoer.
• Logto Tunnel voorkomt dat aanvragen naar statische bestanden buiten het ingestelde experience-pad kunnen lezen.

Compatibiliteits- en opslagoplossingen zijn ook toegevoegd: oudere Safari en iOS 15 crashen niet meer bij opstarten vanwege niet-ondersteunde regex lookbehind syntax, OIDC enterpriseconnectoren kunnen discovery config ophalen bij providers die alleen JSON-respons onderhandelen weigeren, en UI-asset Azure Blob-transportfouten worden nu correct gemapt naar herhaalbare opslagtijdfouten.

Nieuwe en verbeterde connectoren#

Deze release voegt verschillende connectorgerelateerde mogelijkheden toe en verbetert deze:

• Nieuwe SMTP2GO e-mailconnector om authentificatiemails via de SMTP2GO send API te versturen.
• QQ-connectorondersteuning voor social identity-verificatie met opgeslagen redirect-URI.
• SAML-connectorupgrade voor samlify en strictere returntypes.
• Connector Kit exporteert nu gedeelde SMTP-postvakparsing- en formatteringshulpprogramma's, ook gebruikt door MailJunky.

Voor self-hosted gebruikers#

Een databasemigratie is vereist voor v1.41.0. Deze release bevat schemawijzigingen voor wachtwoordverloop, gebruikersnaambeleid, verificatiecodebeleid, berichtlimiet-indexen, Account Center-standaarden en service-log-indexen.

Na upgraden, voer het database-alteratiecommando uit voordat je de nieuwe versie start. Zie de upgradegids voor meer details.

De omgevingvariabele CASE_SENSITIVE_USERNAME is nu verouderd. Deze werkt nog als runtime-override, maar hoofdlettergevoeligheid van gebruikersnamen stel je voortaan per tenant in via het nieuwe gebruikersnaambeleid. De variabele wordt verwijderd in de volgende grote versie.

Aan de slag#

Klaar om te upgraden? Bekijk de upgradegids voor een stapsgewijze uitleg.

Voor de volledige lijst met wijzigingen, zie de GitHub-releasepagina.

Vragen of feedback? Praat met ons op Discord of open een issue op GitHub.