Logto 產品更新(2024 年 7 月)
上個月我們介紹了很多新的功能和改進。我們也有關於合規的大新聞要分享。
Founder
合規
我們現在正式符合 SOC 2 第一類! 🎉 第二類審核在計劃中。
即時供應組織功能
此功能允許用戶在通過某些身份驗證方法首次登錄時自動加入組織並分配角色。你可以設置符合即時供應的要求。
要使用此功能,請前往組織設置並找到「即時供應」部分。管理 API 也可用於通過 /api/organizations/{id}/jit 路徑配置此功能。欲了解更多信息,請參閱即時供應。
電子郵件網域
新用戶將在即時供應功能下自動加入組織,如果他們:
- 使用已驗證的電子郵件地址註冊,或;
- 使用具有已驗證電子郵件地址的社交登錄。
這適用於已配置相同電子郵件域的組織。
點擊展開
要啟用此功能,可以通過管理 API 或 Logto Console 添加電子郵件域:
- 我們在管理 API 中添加了以下新端點:
GET /organizations/{organizationId}/jit/email-domainsPOST /organizations/{organizationId}/jit/email-domainsPUT /organizations/{organizationId}/jit/email-domainsDELETE /organizations/{organizationId}/jit/email-domains/{emailDomain}
- 在 Logto Console 中,你可以在組織詳細信息頁面 -> 「即時供應」部分管理電子郵件域。
SSO 連接器
首次通過企業 SSO 登錄的新用戶或現有用戶將自動加入配置了即時供應功能的 SSO 連接器的組織。
點擊展開
要啟用此功能,可以通過管理 API 或 Logto Console 添加 SSO 連接器:
- 我們在管理 API 中添加了以下新端點:
GET /organizations/{organizationId}/jit/sso-connectorsPOST /organizations/{organizationId}/jit/sso-connectorsPUT /organizations/{organizationId}/jit/sso-connectorsDELETE /organizations/{organizationId}/jit/sso-connectors/{ssoConnectorId}
- 在 Logto Console 中,你可以在組織詳細信息頁面 -> 「即時供應」部分管理 SSO 連接器。
預設組織角色
你還可以配置通過此功能供應的用戶的預設角色。當用戶被供應時,將分配預設角色給用戶。
點擊展開
要啟用此功能,你可以通過管理 API 或 Logto Console 設置預設角色:
- 我們在管理 API 中添加了以下新端點:
GET /organizations/{organizationId}/jit/rolesPOST /organizations/{organizationId}/jit/rolesPUT /organizations/{organizationId}/jit/rolesDELETE /organizations/{organizationId}/jit/roles/{organizationRoleId}
- 在 Logto Console 中,你可以在組織詳細信息頁面 -> 「即時供應」部分管理預設角色。
組織的機器對機器應用
此功能允許機器對機器應用與組織關聯,並分配組織角色。
OpenID Connect 授權
client_credentials 授權類型現在支持組織。你可以使用此授權類型獲取組織的訪問 token。
點擊展開 Console 更新
- 新增「機器對機器」類型到組織角色。所有現有角色現在為「用戶」類型。
- 你可以在組織詳細信息頁面 -> 機器對機器應用部分管理機器對機器應用。
- 你可以在機器對機器應用詳細信息頁面查看關聯的組織。
點擊展開管理 API 更新
管理 API 添加了一組新的端點:
/api/organizations/{id}/applications用於管理機器對機器應用。/api/organizations/{id}/applications/{applicationId}用於管理組織中特定的機器對機器應用。/api/applications/{id}/organizations用於查看機器對機器應用的關聯組織。
Swagger(OpenAPI)改進
在 OpenAPI 回應中為管理 API 建立 operationId
根據規範:
operationId是用於識別操作的可選唯一字符串。如果提供,這些 ID 必須在你的 API 中所有描述的操作中是唯一的。
這大大簡化了在不同語言中創建客戶 SDK,因為它生成了更有意義的函數名稱,而不是如下所示的自動生成的名稱:
修正 GET /api/swagger.json 端點返回的 OpenAPI 架構
:字元在參數名稱中無效,比如organizationId:root。這些字元已被替換為-。- 在生成的 OpenAPI 規範文件中,
/api/.well-known/endpoints/{tenantId}路由的tenantId參數丟失,導致驗證錯誤。這已被修正。
支持後端登出
我們已啟用了 OpenID Connect Back-Channel Logout 1.0 支持。
要註冊後端登出,請前往 Logto Console 中的應用詳細信息頁面,然後找到「後端登出」部分。輸入你的 RP 的後端登出 URL 並點擊「保存」。
你還可以為後端登出啟用會話要求。啟用時,Logto 將在登出 token 中包含 sid 聲明。
對於程式化註冊,你可以在應用 oidcClientMetadata 對象中設置 backchannelLogoutUri 和 backchannelLogoutSessionRequired 屬性。
登入體驗
支持 Google One Tap
當你添加 Google 作為社交連接器時,你現在可以啟用 Google One Tap,為使用 Google 帳戶的用戶提供更順暢的登入體驗。
前往 Logto Console 中的 Google 連接器設置並開啟「Google One Tap」選項。
欲了解更多關於 Google One Tap 的信息,請參閱啟用 Google One Tap。
在登入過程中允許跳過手動帳戶連接
你可以在 Console -> 登入體驗 -> 註冊和登入 -> 社交登入 -> 自動帳戶連接中找到此配置。
啟用時,如果用戶使用系統中新的社交身份登錄,並且系統中只有一個具有相同標識符(例如電子郵件)的現有帳戶,Logto 將自動將該帳戶與社交身份連接,而不提示用戶進行帳戶連接。
同意登入體驗的條款政策
我們新增了一個新配置,允許你設置登入體驗的服務條款協議政策:
- 自動:用戶通過繼續使用服務自動同意條款。
- 僅手動註冊:用戶必須在註冊時勾選框確認同意條款,而在登錄時則不需要同意。
- 手動:用戶必須在註冊或登錄時勾選框確認同意條款。
Console 改進
- 新增 Ruby 和 Chrome 擴展指南。
- 在應用詳細信息表單中顯示 OIDC 發行者端點。
- 應用程式指南已重新組織,以提供更好的開發者體驗。
- 現在你可以在用戶設置頁面查看和更新用戶的
profile屬性。 - 改善了機器對機器應用的整合用戶體驗。
- 修正了與已刪除應用相關的日誌在審計日誌中彈出錯誤提示的回歸錯誤。
其他改進
- 在自定義 JWT 用戶上下文中新增
hasPassword。 - 連接器:Google 和 Azure AD 連接器現在支持自定義的
prompt。 - 支持每組織的多因素驗證要求:
- 現在組織可以要求其成員配置多因素驗證(MFA)。如果組織有此要求而成員未配置 MFA,則成員將無法獲取組織訪問 token。
- 在你登錄到實時預覽後,DEV 面板可用。
GET /api/organizations/{id}/users/{userId}/roles的分頁現在為可選。如果你不提供page和limit查詢參數,API 將返回所有角色。- 在
User.Deletedwebhook 事件中新增用戶詳細數據載荷。