Polski
  • release

Aktualizacje produktu Logto

Logto v1.41.0 wprowadza kontrolę dostępu na poziomie aplikacji, polityki wygaśnięcia hasła, duże ulepszenia Centrum Konta, konfigurowalne reguły dotyczące nazw użytkowników i kodów weryfikacyjnych, bezpieczniejsze dostarczanie wiadomości oraz rundę wzmocnień protokołów i zabezpieczeń.

Sijie
Sijie
Developer

Przestań tracić tygodnie na uwierzytelnianie użytkowników
Uruchamiaj bezpieczne aplikacje szybciej z Logto. Zintegruj uwierzytelnianie użytkowników w kilka minut i skup się na swoim głównym produkcie.
Rozpocznij
Product screenshot

Logto v1.41.0 to wydanie skupione na kontroli i bezpieczeństwie. Daje zespołom bardziej precyzyjne sposoby decydowania o tym, kto może uzyskać dostęp do każdej aplikacji, pełniejsze zarządzanie cyklem życia haseł oraz znacznie bardziej rozbudowane Centrum Konta dla użytkowników końcowych. Dodatkowo wzmacnia dostarczanie kodów weryfikacyjnych, reguły nazw użytkowników, obsługę SAML/OIDC, ochronę przed powtórnym użyciem MFA oraz ścieżki aktualizacji dla self-hostingu. Oto, co nowego.

Kontrola dostępu na poziomie aplikacji

Możesz teraz ograniczyć dostęp do aplikacji bezpośrednio z poziomu Logto. Reguły dostępu mogą być skierowane do określonych użytkowników, ról użytkowników, organizacji lub ról organizacyjnych.

Gdy użytkownik nie spełnia skonfigurowanego zestawu reguł, Logto blokuje proces logowania lub dostępu do aplikacji, wyświetlając stronę odmowy dostępu zamiast pozwalać, by żądanie było przekazywane dalej. Ułatwia to zarządzanie wdrożeniem aplikacji, dostępem specyficznym dla klienta, ochroną narzędzi wewnętrznych oraz dostępem w zakresie organizacji, bez konieczności przenoszenia całej decyzji do kodu aplikacji.

Zobacz dokumentację kontroli dostępu na poziomie aplikacji po pełny opis konfiguracji.

Polityki wygaśnięcia hasła

Konsola teraz obsługuje wygaśnięcie hasła na poziomie tenantów w Bezpieczeństwo > Polityka hasła.

Administratorzy mogą włączyć wygaśnięcie hasła, skonfigurować, przez ile dni hasło jest ważne i ręcznie wygasić hasło konkretnego użytkownika z poziomu szczegółów użytkownika. Gdy hasło wygasa, użytkownik musi je zresetować przez skonfigurowaną metodę odzyskiwania, zanim możliwość logowania się za pomocą hasła będzie dalej dostępna.

Logowania SSO i passkey nie są dotknięte. Istniejący użytkownicy bez zapisanej daty zmiany hasła są obsługiwani bezproblemowo: Logto przypisuje im rozpoczęcie od czasu włączenia polityki, dzięki czemu otrzymują cały okres ważności, zamiast być natychmiast wygaśnięci.

Centrum Konta z większą ilością opcji samoobsługowych

Centrum Konta stale ewoluuje w pełnoprawną, samoobsługową powierzchnię zarządzania tożsamością użytkowników.

To wydanie dodaje zarządzanie sesją, przegląd podłączonych aplikacji firm trzecich, zarządzanie profilem, przesyłanie awatara, opcję przesłania awatara podczas rejestracji profilowej, niezależne zarządzanie passkey oraz preferencje użytkownika decydujące o wyświetlaniu podpowiedzi do logowania passkey.

Strona profilu w Centrum Konta, niestandardowe pola profilowe podczas rejestracji oraz endpointy przesyłania awatara są teraz dostępne poza funkcjami pod deweloperskimi flagami.

Wprowadzono także kilka istotnych poprawek:

  • Motyw, platforma i kolor marki są stosowane przed hydratacją, by zredukować migotanie wizualne.
  • Weryfikacja podwyższenia uprawnień jest ograniczona do rekordów potwierdzających uprawnienia użytkownika.
  • Tożsamości społecznościowe mogą być powiązane bez hasła, e-maila lub telefonu, jeśli użytkownik nie ma starych metod weryfikacji bezpieczeństwa.
  • Edycja nazwy użytkownika w konsoli teraz przekierowuje do Centrum Konta, aby wymagana weryfikacja mogła zostać ukończona.

Polityki dotyczące nazw użytkowników i kodów weryfikacyjnych

Reguły nazw użytkowników na poziomie tenantów są teraz konfigurowalne w Konsola > Doświadczenie logowania > Rejestracja i logowanie > Zaawansowane opcje.

Polityka reguluje czułość na wielkość liter, minimalną i maksymalną długość oraz dozwolone typy znaków. Jest egzekwowana przy wszelkich zapisach nazw użytkowników, w tym przy rejestracji, uzupełnianiu profilu, w Centrum Konta, API Konta i /me.

Przełączenie na nazwy użytkowników bez czułości na wielkość liter jest chronione: Logto sprawdza, czy nie istnieją już użytkownicy różniący się wyłącznie wielkością liter i blokuje zmianę do czasu rozwiązania konfliktów. Oświadczenie OIDC preferred_username teraz także domyślnie przyjmuje pole username, gdy profile.preferredUsername nie jest ustawione.

Reguły kodów weryfikacyjnych również przeniesiono do ustawień bezpieczeństwa Konsoli. Administratorzy mogą wybrać czas ważności kodu i maksymalną liczbę prób.

Bezpieczniejsze dostarczanie wiadomości

Logto stosuje teraz systemowy limit wysyłek na odbiorcę w przypadku wysyłania e-maili/SMS z kodami weryfikacyjnymi oraz zaproszeniami. Limit ten dotyczy Experience, MFA, Konta API, API Zarządzania, /me, zaproszeń organizacyjnych oraz starego API interakcji.

Gdy występuje ograniczenie, Logto generuje zdarzenie webhook Message.RateLimited, które można teraz wybrać w ustawieniach webhooków w Konsoli.

Wysyłka kodów weryfikacyjnych do nieznanych odbiorców jest również wstrzymywana, jeśli rejestracja jest wyłączona, co zmniejsza ryzyko enumeracji kont.

Personalizacja JWT i ulepszenia API

Dla tokenów API zasobów organizacyjnych, personalizator tokenów JWT otrzymuje teraz context.organization z id, name, description i customData organizacji docelowej.

Ułatwia to dodawanie kluczowych claimów specyficznych dla organizacji bez konieczności osadzania wszystkich mapowań w każdym tokenie.

Pojawiło się też kilka ulepszeń API:

  • POST /api/applications/:applicationId/roles jest teraz idempotentne. Istniejące role są ignorowane zamiast zwracania 422 application.role_exists.
  • Endpoint teraz zwraca 201 z { roleIds, addedRoleIds }, zgodnie z API przypisywania ról użytkownikom.
  • Tworzenie roli organizacji z początkowymi uprawnieniami jest teraz transakcyjne, przez co nieprawidłowe ID uprawnień nie pozostawiają częściowo utworzonych ról.

Wzmocnienie bezpieczeństwa i protokołów

To wydanie zawiera zestaw usprawnień proceduralnych i zabezpieczeń:

  • Formularze automatycznego wysyłania SAML IdP teraz unikają wartości atrybutów HTML i odrzucają nie-HTTP(S) URL-e akcji.
  • samlify zaktualizowano do ^2.13.0 dla lepszego escapingu XML w generowanych asercjach SAML.
  • Weryfikacja TOTP MFA odrzuca ponowne użycie kodu z tego samego lub wcześniejszego kroku czasowego.
  • Żądania OIDC zawierające bajty null zwracają teraz 400 invalid_request.
  • Ładunki logów audytu są odfiltrowywane z bajtów null przed wstawieniem.
  • Sprawdzanie blokady subadresowania e-mail nie buduje już wyrażeń regularnych na podstawie danych wejściowych od użytkownika.
  • Logto Tunnel uniemożliwia żądania do plików statycznych, by nie wychodziły poza skonfigurowaną ścieżkę Experience.

Dołączono poprawki kompatybilności i przechowywania: starsze Safari i iOS 15 nie powodują już awarii podczas uruchamiania z powodu braku obsługi operatorów lookbehind w regex, konektory OIDC enterprise mogą pobierać konfigurację discovery od dostawców, którzy odrzucają negocjację odpowiedzi tylko JSON, a niestandardowe UI assety przez Azure Blob nieprawidłowe przeniesienia mapowane są teraz na błędy możliwe do ponownego pobrania.

Nowe i ulepszone konektory

Wersja ta dodaje i usprawnia kilka funkcjonalności związanych z konektorami:

  • Nowy konektor SMTP2GO do wysyłania e-maili transakcyjnych przez API SMTP2GO.
  • Obsługa konektora QQ do weryfikacji tożsamości społecznościowej ze zdefiniowanym URl przekierowania.
  • Ulepszenie konektora SAML dla samlify oraz ostrzejsze typy zwracane.
  • Connector Kit eksportuje teraz wspólne funkcje parsowania/formatowania skrzynki SMTP, wykorzystywane też przez MailJunky.

Dla użytkowników self-hosted

Wersja v1.41.0 wymaga migracji bazy danych. Wydanie to wprowadza zmiany schematu dotyczące wygaśnięcia haseł, polityki nazw użytkowników, polityki kodów weryfikacyjnych, indeksów wskaźnikowych limitu wiadomości, domyślnych ustawień Centrum Konta oraz indeksów logów usługi.

Po aktualizacji uruchom komendę zmiany bazy danych przed uruchomieniem nowej wersji. Szczegółowe informacje znajdziesz w przewodniku aktualizacji.

Zmienna środowiskowa CASE_SENSITIVE_USERNAME jest teraz przestarzała. Nadal działa jako overridden w czasie uruchomienia, lecz czułość nazw użytkowników na wielkość liter powinna być teraz konfigurowana dla każdego tenant'a poprzez nową politykę nazw. Usunięcie tej zmiennej jest zaplanowane w następnej głównej wersji.

Zacznij już dziś

Gotowy do aktualizacji? Zobacz przewodnik upgrade'u po instrukcję krok-po-kroku.

Pełną listę zmian znajdziesz na stronie wydania GitHub.

Masz pytania lub uwagi? Dołącz do nas na Discordzie lub otwórz zgłoszenie na GitHubie.