[แผนที่สาธารณะ](https://logto.productlane.com/roadmap) ของเราได้กลับมาแล้ว โหวตฟีเจอร์ที่คุณต้องการและแสดงความคิดเห็นได้ตามสบาย! ## การปฏิบัติตามข้อกำหนด เราผ่านการรับรอง SOC 2 Type I อย่างเป็นทางการ! 🎉 การตรวจสอบ Type II กำลังจะมาถึงในไม่ช้า ![SOC 2 Type I](https://uploads.strapi.logto.io/1/soc_2_fdc1807681.png) ## การเปิดใช้งานตามเวลาจริงสำหรับองค์กร ฟีเจอร์นี้ช่วยให้ผู้ใช้สามารถเข้าร่วมองค์กรและได้รับบทบาทเมื่อลงชื่อเข้าใช้ครั้งแรกผ่านวิธีการตรวจสอบสิทธิ์บางอย่าง คุณสามารถตั้งข้อกำหนดที่จะต้องปฏิบัติตามเพื่อการเปิดใช้งานตามเวลาจริง หากต้องการใช้ฟีเจอร์นี้ ให้ไปที่การตั้งค่าองค์กรและค้นหาหัวข้อ "การเปิดใช้งานตามเวลาจริง" API การจัดการก็มีให้ใช้ในการกำหนดค่าฟีเจอร์นี้ผ่านเส้นทางภายใต้ `/api/organizations/{id}/jit` หากต้องการเรียนรู้เพิ่มเติม ดู [การเปิดใช้งานตามเวลาจริง](https://docs.logto.io/docs/recipes/organizations/just-in-time-provisioning/) ![Organization JIT provisioning](https://uploads.strapi.logto.io/1/organization_jit_d5fc2549b8.webp) ### โดเมนอีเมล ผู้ใช้ใหม่จะเข้าร่วมองค์กรโดยอัตโนมัติด้วยการเปิดใช้งานตามเวลาจริงหากพวกเขา: - ลงทะเบียนด้วยที่อยู่อีเมลที่ได้รับการยืนยัน หรือ; - ใช้การลงชื่อเข้าใช้ผ่านโซเชียลด้วยที่อยู่อีเมลที่ได้รับการยืนยัน สิ่งนี้จะใช้กับองค์กรที่มีการกำหนดค่าโดเมนอีเมลเดียวกัน

คลิกเพื่อขยาย

ในการเปิดใช้งานฟีเจอร์นี้ คุณสามารถเพิ่มโดเมนอีเมลผ่าน API การจัดการหรือ Logto Console: - เราได้เพิ่ม endpoint ใหม่ต่อไปนี้ใน API การจัดการ: - `GET /organizations/{organizationId}/jit/email-domains` - `POST /organizations/{organizationId}/jit/email-domains` - `PUT /organizations/{organizationId}/jit/email-domains` - `DELETE /organizations/{organizationId}/jit/email-domains/{emailDomain}` - ใน Logto Console คุณสามารถจัดการโดเมนอีเมลในหน้ารายละเอียดองค์กร -> ส่วน "การเปิดใช้งานตามเวลาจริง"

### ขั้วต่อ SSO ผู้ใช้ใหม่หรือผู้ใช้ที่มีอยู่นำการลงชื่อเข้าใช้ผ่าน SSO ขององค์กรเป็นครั้งแรกจะเข้าร่วมองค์กรโดยอัตโนมัติที่มีการเปิดใช้งานตามเวลาจริงที่กำหนดสำหรับขั้วต่อ SSO

คลิกเพื่อขยาย

ในการเปิดใช้งานฟีเจอร์นี้ คุณสามารถเพิ่มขั้วต่อ SSO ผ่าน API การจัดการหรือ Logto Console: - เราได้เพิ่ม endpoint ใหม่ต่อไปนี้ใน API การจัดการ: - `GET /organizations/{organizationId}/jit/sso-connectors` - `POST /organizations/{organizationId}/jit/sso-connectors` - `PUT /organizations/{organizationId}/jit/sso-connectors` - `DELETE /organizations/{organizationId}/jit/sso-connectors/{ssoConnectorId}` - ใน Logto Console คุณสามารถจัดการขั้วต่อ SSO ในหน้ารายละเอียดองค์กร -> ส่วน "การเปิดใช้งานตามเวลาจริง"

### บทบาทเริ่มต้นขององค์กร คุณยังสามารถกำหนดค่าบทบาทเริ่มต้นสำหรับผู้ใช้ที่จัดหาผ่านฟีเจอร์นี้ บทบาทเริ่มต้นจะถูกมอบหมายให้กับผู้ใช้เมื่อถูกจัดหา

คลิกเพื่อขยาย

ในการเปิดใช้งานฟีเจอร์นี้ คุณสามารถตั้งค่าบทบาทเริ่มต้นผ่าน API การจัดการหรือ Logto Console: - เราได้เพิ่ม endpoint ใหม่ต่อไปนี้ใน API การจัดการ: - `GET /organizations/{organizationId}/jit/roles` - `POST /organizations/{organizationId}/jit/roles` - `PUT /organizations/{organizationId}/jit/roles` - `DELETE /organizations/{organizationId}/jit/roles/{organizationRoleId}` - ใน Logto Console คุณสามารถจัดการบทบาทเริ่มต้นในหน้ารายละเอียดองค์กร -> ส่วน "การเปิดใช้งานตามเวลาจริง"

## แอปแมชชีน-ทู-แมชชีนสำหรับองค์กร ฟีเจอร์นี้ช่วยให้แอปแมชชีน-ทู-แมชชีนสามารถเชื่อมโยงกับองค์กรและได้รับบทบาทองค์กร **สิทธิ์การให้ OpenID Connect** ประเภทการขอมอบสิทธิ์ `client_credentials` ตอนนี้อยู่ในองค์กรแล้ว คุณสามารถใช้ประเภทการให้สิทธิ์นี้เพื่อรับ token การเข้าถึงสำหรับองค์กร

คลิกเพื่อขยายการอัปเดต Console

- เพิ่มประเภทใหม่ "machine-to-machine" ในบทบาทองค์กร บทบาทที่มีอยู่ทั้งหมดตอนนี้เป็นประเภท "user" - คุณสามารถจัดการแอปแมชชีน-ทู-แมชชีนในหน้ารายละเอียดองค์กร -> ส่วนแอปแมชชีน-ทู-แมชชีน - คุณสามารถดูองค์กรที่เชื่อมโยงกันในหน้ารายละเอียดแอปแมชชีน-ทู-แมชชีน

คลิกเพื่อขยายการอัปเดต API การจัดการ

ชุดของ endpoint ใหม่ถูกเพิ่มไปที่ API การจัดการ: - `/api/organizations/{id}/applications` เพื่อจัดการแอปแมชชีน-ทู-แมชชีน - `/api/organizations/{id}/applications/{applicationId}` เพื่อจัดการแอปแมชชีน-ทู-แมชชีนเฉพาะในองค์กร - `/api/applications/{id}/organizations` เพื่อดูองค์กรที่เชื่อมโยงกันของแอปแมชชีน-ทู-แมชชีน

## การปรับปรุง Swagger (OpenAPI) ขอบคุณ [@mostafa](https://github.com/mostafa) สำหรับการนำการปรับปรุงอันยอดเยี่ยมนี้มาสู่ Logto! **สร้าง `operationId` สำหรับ Management API ในผลลัพธ์ OpenAPI** ตาม [มาตรฐาน](https://swagger.io/docs/specification/paths-and-operations/): > `operationId` เป็นสตริงเฉพาะที่ใช้ระบุปฏิบัติการ หากมีการระบุ รหัสเหล่านี้จะต้องไม่ซ้ำกันในหมู่ปฏิบัติการที่อธิบายไว้ทั้งหมดใน API ของคุณ สิ่งนี้ทำให้การสร้าง SDK ลูกค้าในภาษาต่างๆ ง่ายขึ้นมาก เพราะมันสร้างชื่อฟังก์ชันที่มีความหมายมากขึ้นแทนที่จะเป็นชื่อที่ถูกสร้างอัตโนมัติ เช่น ตัวอย่างต่อไปนี้: ```diff - org, _, err := s.Client.OrganizationsAPI.ApiOrganizationsIdGet(ctx, req.GetId()).Execute() + org, _, err := s.Client.OrganizationsAPI.GetOrganization(ctx, req.GetId()).Execute() ``` ```diff - users, _, err := s.Client.OrganizationsAPI.ApiOrganizationsIdUsersGet(ctx, req.GetId()).Execute() + users, _, err := s.Client.OrganizationsAPI.ListOrganizationUsers(ctx, req.GetId()).Execute() ``` **แก้ไขสคีมา OpenAPI ที่ส่งกลับโดย endpoint `GET /api/swagger.json`** - ตัวอักษร `:` ไม่ถูกต้องในชื่อตัวแปร เช่น `organizationId:root` ตัวอักษรเหล่านี้ถูกแทนที่ด้วย `-` - ตัวแปร `tenantId` ของเส้นทาง `/api/.well-known/endpoints/{tenantId}` หายไปจากเอกสารมาตรฐาน OpenAPI ที่สร้างขึ้น ซึ่งทำให้เกิดข้อผิดพลาดในการตรวจสอบความถูกต้อง สิ่งนี้ได้รับการแก้ไขแล้ว ## การสนับสนุนการลงชื่อออกหลังจากใช้งาน เราได้เปิดให้การสนับสนุน [OpenID Connect Back-Channel Logout 1.0](https://openid.net/specs/openid-connect-backchannel-1_0.html) ในการลงทะเบียนเพื่อการลงชื่อออกหลังจากใช้งาน ให้ไปที่หน้ารายละเอียดแอปใน Logto Console และค้นหาหัวข้อ "Backchannel logout" ป้อน URL ของการลงชื่อออกหลังจากใช้งานของ RP ของคุณและคลิก "บันทึก" คุณยังสามารถเปิดข้อกำหนดเซสชั่นสำหรับการลงชื่อออกหลังจากใช้งาน เมื่อเปิดใช้งาน Logto จะรวมการเรียกร้อง `sid` ใน token การลงชื่อออก สำหรับการลงทะเบียนโปรแกรม คุณสามารถตั้งค่าคุณสมบัติ `backchannelLogoutUri` และ `backchannelLogoutSessionRequired` ในวัตถุ `oidcClientMetadata` ของแอปพลิเคชัน ## ประสบการณ์การลงชื่อเข้าใช้ ### รองรับ Google One Tap เมื่อคุณเพิ่ม Google เป็นขั้วต่อโซเชียล คุณสามารถเปิดใช้ Google One Tap เพื่อมอบประสบการณ์การลงชื่อเข้าใช้ที่ราบรื่นยิ่งขึ้นให้กับผู้ใช้ที่มีบัญชี Google ไปที่การตั้งค่าขั้วต่อ Google ใน Logto Console และเปิดตัวเลือก "Google One Tap" ![Google One Tap](https://uploads.strapi.logto.io/1/google_one_tap_abed7522c4.webp) หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Google One Tap ดู [เปิดใช้ Google One Tap](https://docs.logto.io/docs/recipes/configure-connectors/social-connector/enable-google-one-tap/) ### อนุญาตให้ข้ามการเชื่อมโยงบัญชีด้วยตนเองระหว่างการลงชื่อเข้าใช้ คุณสามารถหาการกำหนดค่านี้ใน Console -> ประสบการณ์การลงชื่อเข้าใช้ -> การลงทะเบียนและการลงชื่อเข้าใช้ -> การลงชื่อเข้าใช้ผ่านโซเชียล -> การเชื่อมโยงบัญชีอัตโนมัติ เมื่อเปิดใช้ หากผู้ใช้ลงชื่อเข้าใช้ด้วยตัวตนโซเชียลที่เป็นใหม่ต่อระบบ และมีบัญชีที่มีตัวระบุเดียวกันเพียงบัญชีเดียว (เช่น อีเมล) Logto จะเชื่อมโยงบัญชีกับตัวตนโซเชียลโดยอัตโนมัติแทนที่จะต้องตั้งคำถามไปยังผู้ใช้ให้เชื่อมโยงบัญชี ### ยินยอมตกลงตามข้อกำหนดสำหรับประสบการณ์การลงชื่อเข้าใช้ เราได้เพิ่มการกำหนดค่าใหม่เพื่อให้คุณตั้งค่านโยบายยินยอมตกลงตามข้อกำหนดบริการสำหรับประสบการณ์การลงชื่อเข้าใช้: - **อัตโนมัติ**: ผู้ใช้อัตโนมัติยินยอมตกลงตามข้อกำหนดโดยการใช้งานบริการต่อ - **เฉพาะการลงทะเบียนด้วยตนเอง**: ผู้ใช้ต้องยินยอมตกลงตามข้อกำหนดโดยการเลือกกล่องระหว่างการลงทะเบียน และไม่ต้องยินยอมเมื่อลงชื่อเข้าใช้ - **ด้วยตนเอง**: ผู้ใช้ต้องยินยอมตกลงตามข้อกำหนดโดยการเลือกกล่องระหว่างการลงทะเบียนหรือลงชื่อเข้าใช้ ## การปรับปรุง Console - เพิ่มคู่มือส่วน Ruby และ Chrome extension - แสดง endpoint ผู้มอบ OIDC ในแบบฟอร์มรายละเอียดแอปพลิเคชัน - คู่มือแอปพลิเคชันได้ถูกจัดระเบียบใหม่เพื่อมอบประสบการณ์นักพัฒนาที่ดีขึ้น - ขณะนี้คุณสามารถดูและอัปเดตคุณสมบัติ `profile` ของผู้ใช้ในหน้าการตั้งค่าผู้ใช้ - ปรับปรุงประสบการณ์การรวมแอปแมชชีน-ทู-แมชชีนของผู้ใช้ - แก้ไขข้อบกพร่องการถดถอยที่เกิดข้อผิดพลาดที่โผล่ขึ้นมาในล็อกการตรวจสอบเมื่อมีการผูกล็อกกับแอปพลิเคชันที่ถูกลบแล้ว ## การปรับปรุงอื่นๆ - เพิ่ม `hasPassword` ลงในบริบทผู้ใช้ JWT ที่กำหนดเอง - ขั้วต่อ: ตัวเชื่อมต่อ Google และ Azure AD ตอนนี้รองรับการกำหนดค่า `prompt` เอง - สนับสนุนความต้องการการตรวจสอบหลายขั้นตอนต่อองค์กร: - องค์กรสามารถที่จะกำหนดให้สมาชิกต้องมีการกำหนดค่าการตรวจสอบหลายขั้นตอน (MFA) ได้แล้ว หากองค์กรมีความต้องการนี้และสมาชิกไม่มีการกำหนดค่า MFA สมาชิกจะไม่สามารถดึง token การเข้าถึงองค์กรได้ - แผงนักพัฒนาพร้อมให้ใช้งานหลังจากที่คุณลงชื่อเข้าใช้การแสดงสดสด - การแบ่งหน้ากลับเป็นตัวเลือกสำหรับ `GET /api/organizations/{id}/users/{userId}/roles` หากคุณไม่ให้พารามิเตอร์ query `page` และ `limit` API จะคืนบทบาททั้งหมด - เพิ่ม payload ข้อมูลรายละเอียดผู้ใช้ไปยังเหตุการณ์ webhook `User.Deleted`