Logto ürün güncellemeleri

Logto v1.41.0 bir kontrol ve güvenlik sürümüdür. Ekiplerin her uygulamaya kimin erişebileceğine daha ayrıntılı şekillerde karar vermesini, daha kapsamlı bir parola yaşam döngüsü kontrolü sağlayan, ve son kullanıcılar için çok daha yetenekli bir Hesap Merkezi sunar. Ayrıca, doğrulama kodu teslimatı, kullanıcı adı kuralları, SAML/OIDC işlemleri, MFA tekrar koruması ve self-hosting yükseltme yollarını sıkılaştırır. İşte yenilikler.

Uygulama düzeyinde erişim kontrolü#

Artık bir uygulamanın erişimini doğrudan Logto üzerinden kısıtlayabilirsiniz. Erişim kuralları belirli kullanıcıları, kullanıcı rollerini, organizasyonları veya organizasyon rollerini hedefleyebilir.

Bir kullanıcı yapılandırılan kural kümesiyle eşleşmediğinde, Logto oturum açmayı veya uygulama erişim akışını devam ettirmek yerine bir erişim reddedildi sayfasıyla engeller. Bu, uygulama dağıtımı, müşteri özelinde erişim, iç araç koruması ve organizasyon kapsamındaki erişimi, tüm kararı uygulama kodunuza itmeksizin yönetmenizi kolaylaştırır.

Tam kurulum akışı için uygulama düzeyinde erişim kontrolü belgelerine bakın.

Parola süresi dolma politikaları#

Konsol artık Güvenlik > Parola politikası altında kiracı düzeyinde parola süresi dolmasını destekliyor.

Yöneticiler parola süresi dolmasını etkinleştirebilir, bir parolanın kaç gün geçerli kalacağını yapılandırabilir ve kullanıcı detayları sayfasından belirli bir kullanıcının parolasını manuel olarak süresi dolmuş hale getirebilir. Bir parolanın süresi dolduğunda, kullanıcı parola ile oturum açmaya devam etmeden önce yapılandırılmış kurtarma yöntemiyle sıfırlamak zorundadır.

SSO ve passkey oturum açmaları etkilenmez. Kayıtlı parola değişim zaman bilgisi olmayan mevcut kullanıcılar sorunsuzca yönetilir: Logto, bu kullanıcıları politikanın etkinleştirildiği zamana sabitler, böylece hemen süresi dolmaktan ziyade tam geçerlilik süresini alırlar.

Hesap Merkezi daha fazla self-servis kontrol alıyor#

Hesap Merkezi, son kullanıcılar için tam anlamıyla bir self-servis kimlik alanı olmaya doğru gelişmeye devam ediyor.

Bu sürüm; oturum yönetimi, bağlı üçüncü taraf uygulama incelemesi, profil yönetimi, avatar yükleme, profil topla kaydolma sırasında avatar yükleme, bağımsız passkey kontrolleri ve kullanıcıya yönelik passkey ile oturum açma istemi tercihi ekledi.

Ayrıca Hesap Merkezi profil sayfası, kayıt sırasında özel profil alanları ve avatar yükleme uç noktaları geliştirme özelliği kapılarından çıkarıldı.

Burada bazı önemli düzeltmeler de geldi:

• Tema, platform ve marka rengi; görsel yanıp sönmeyi azaltmak için hydration'dan önce uygulanır.
• Step-up doğrulama, kullanıcı izin doğrulama kayıtlarıyla sınırlıdır.
• Sosyal kimlikler, kullanıcıda eski güvenlik doğrulama yöntemi yoksa parola, e-posta veya telefon doğrulaması olmadan da bağlanabilir.
• Konsol kullanıcı adı düzenlemesi artık gerekli doğrulamanın tamamlanabilmesi için Hesap Merkezi'ne yönlendirir.

Kullanıcı adı ve doğrulama kodu politikaları#

Kiracı düzeyinde kullanıcı adı kuralları artık Konsol > Oturum açma deneyimi > Kayıt ve oturum açma > Gelişmiş seçenekler bölümünden yapılandırılabilir.

Politika, büyük/küçük harfe duyarlılık, uzunluk sınırları ve izin verilen karakter tiplerini kapsar. Bu, kayıt, profil tamamlama, Hesap Merkezi, Hesap API ve /me dâhil tüm son kullanıcı adı yazımlarında uygulanır.

Büyük/küçük harfe duyarsız kullanıcı adlarına geçiş korunur: Logto, yalnızca harf büyüklüğü farkıyla farklı olan mevcut kullanıcı adlarını denetler ve çakışmalar çözülene kadar politika değişikliğini engeller. OIDC preferred_username claim'i artık profile.preferredUsername ayarlanmamışsa kullanıcının username bilgisine de geri döner.

Doğrulama kodu kontrolleri de artık Konsol güvenlik ayarlarına taşındı. Yöneticiler, doğrulama kodu geçerlilik süresi ve maksimum deneme sayısını yapılandırabilir.

Daha güvenli mesaj teslimatı#

Logto artık sistem düzeyinde, e-posta/SMS doğrulama ve davet gönderim yolları dâhil her bir alıcı için gönderim oranı limiti uygular: Deneyim, MFA, Hesap API, Yönetim API, /me, organizasyon davetleri, ve eski etkileşim API'si.

Bir gönderim kısıtlandığında, Logto bir Message.RateLimited webhook olayı iletir, bu da artık Konsol webhook ayarlarından seçilebilir.

Kayıt kapalıyken bilinmeyen alıcılara doğrulama kodu teslimatı da engellenerek hesap keşfi riski azaltılır.

JWT özelleştirici ve API iyileştirmeleri#

Organizasyon API kaynak belirteçleri için, erişim belirteci JWT özelleştirici artık hedef organizasyonun id, isim, açıklama ve customData bilgileriyle birlikte context.organization alır.

Bu, her organizasyon haritasını tüm belirteçlere gömmek yerine organizasyona özgü talepler eklemeyi kolaylaştırır.

Ayrıca birkaç API iyileştirmesi de geldi:

• POST /api/applications/:applicationId/roles şimdi idempotenttir. Mevcut rol ID'leri 422 application.role_exists döndürmek yerine yok sayılır.
• Bu uç nokta, kullanıcı rol atama API biçimini eşleyecek şekilde şimdi { roleIds, addedRoleIds } ile birlikte 201 döndürür.
• Başlangıç kapsamlarına sahip organizasyon rolü oluşturma artık işlemseldir, böylece geçersiz kapsam ID'leri artık kısmen oluşturulmuş roller bırakmaz.

Güvenlik ve protokol güçlendirmesi#

Bu sürüm, odaklanmış bir dizi protokol ve güvenlik düzeltmesi içerir:

• SAML IdP otomatik gönderim formları artık HTML öznitelik değerlerini kaçışlar ve HTTP(S) olmayan action URL'lerini reddeder.
• samlify oluşturulan SAML iddialarında geliştirilmiş XML kaçışı için ^2.13.0 sürümüne yükseltildi.
• TOTP MFA doğrulaması artık aynı ya da daha eski zaman adımı sayacından gelmiş tekrar kodlarını reddeder.
• Null byte içeren OIDC istek body'leri artık 400 invalid_request döndürür.
• Denetim günlüğü yükleri, eklenmeden önce null byte karakterlerini temizler.
• E-posta alt adres engelleme listesi kontrolleri artık kullanıcı tarafından kontrol edilen girdilerden normal ifade derlemez.
• Logto Tunnel, statik dosya isteklerinin yapılandırılmış deneyim yolu dışına okuma yapmasını engeller.

Uyumluluk ve depolama düzeltmeleri de dahil edildi: Eski Safari ve iOS 15, desteklenmeyen regex lookbehind sözdizimi nedeniyle artık başlatılırken çökmez; OIDC kurumsal bağlayıcıları, yalnızca JSON dönen yanıtları reddeden sağlayıcılardan keşif yapılandırmasını çekebilir ve özel UI varlık Azure Blob aktarım hataları artık yeniden denenebilir depolama indirme hatalarına eşleştirilir.

Yeni ve geliştirilmiş bağlayıcılar#

Bu sürüm birkaç bağlayıcıya ilişkin yetenek ekler ve geliştirir:

• SMTP2GO gönderim API'si üzerinden işlemsel kimlik doğrulama e-postaları göndermek için yeni SMTP2GO e-posta bağlayıcısı.
• Kayıtlı yönlendirme URI'si ile sosyal kimlik doğrulama için QQ bağlayıcı desteği.
• samlify ve daha katı dönüş türleri için SAML bağlayıcı yükseltmesi.
• Bağlayıcı Kiti artık paylaşılan SMTP posta kutusu ayrıştırma ve biçimlendirme yardımcılarını dışa aktarır, bunlar ayrıca MailJunky tarafından da kullanılır.

Self-hosted kullanıcılar için#

v1.41.0 için bir veritabanı geçişi gereklidir. Bu sürüm; parola süresi dolma, kullanıcı adı politikası, doğrulama kodu politikası, mesaj hızı bekçi indeksleri, Hesap Merkezi varsayılanları ve hizmet günlüğü indeksleri için şema değişiklikleri içerir.

Yükselttikten sonra, yeni sürümü başlatmadan önce veritabanı değişiklik komutunu çalıştırın. Ayrıntılar için yükseltme rehberine bakın.

CASE_SENSITIVE_USERNAME ortam değişkeni artık kullanımdan kaldırıldı. Hala çalışma zamanında geçersiz kılma olarak çalışır, fakat kullanıcı adı büyük/küçük harf duyarlılığı yeni kullanıcı adı politikası yoluyla her kiracı için yapılandırılmalıdır. Bu ortam değişkeni bir sonraki ana sürümde kaldırılacaktır.

Başlarken#

Hazır mısınız? Yükseltme rehberine göz atarak adım adım talimatları uygulayın.

Tüm değişikliklerin tam listesi için GitHub sürüm sayfasına bakın.

Sorunuz veya geri bildiriminiz mi var? Discord kanalımıza katılabilir veya GitHub üzerinden konu açabilirsiniz.