跳至主要內容

管理使用者

透過 Logto Console 管理

瀏覽與搜尋使用者

要在 Logto Console 存取使用者管理功能,請前往 Console > 使用者管理。進入後,你會看到所有使用者的表格檢視。

此表格包含三個欄位:

  • 使用者:顯示使用者資訊,如頭像、全名、使用者名稱、電話號碼與電子郵件
  • 來自應用程式:顯示該使用者最初註冊時所用的應用程式名稱
  • 最近登入:顯示使用者最近一次登入的時間戳記

支援針對 nameidusernameprimary-phoneprimary-email 進行關鍵字對應搜尋。

新增使用者

開發者可透過 Console 為終端使用者建立新帳號。只需點擊畫面右上角的「新增使用者」按鈕。

在 Logto Console 或透過 Management API 建立使用者時(非使用者自行於 UI 註冊),必須至少提供一個識別資訊:primary emailprimary phoneusernamename 欄位為選填。

使用者建立後,Logto 會自動產生一組隨機密碼。初始密碼僅會顯示一次,但你可於後續 重設密碼。若需指定密碼,請於建立後使用 Management API patch /api/users/{userId}/password 進行更新。

你可一鍵複製輸入的識別資訊(電子郵件 / 電話號碼 / 使用者名稱)初始密碼,方便將這些憑證分享給新使用者,讓他們能立即登入並開始使用。

提示:

若你想實作僅限邀請註冊,建議使用 魔術連結邀請使用者。這樣僅白名單使用者可自行註冊並設定密碼。

檢視與更新使用者檔案

點擊使用者表格中的對應列,即可檢視該使用者詳細資料。你將進入「使用者詳情」頁面,內容包含:

  • 驗證 (Authentication) 相關資料
    • 電子郵件地址primary_email):可編輯
    • 電話號碼primary_phone):可編輯
    • 使用者名稱username):可編輯
    • 密碼has_password):可重新產生隨機密碼。詳見「重設使用者密碼」。
    • 多重要素驗證 (Multi-factor authentication)mfa_verification_factor):檢視該使用者已設定的所有驗證因子(如通行密鑰、驗證器 App、備用代碼),可於 Console 移除因子。
    • 個人存取權杖 (Personal access token):建立、檢視、重新命名與刪除 個人存取權杖
  • 連線
    • 社交連線 (Social connections)identities):
      • 檢視使用者已連結的社交帳號,包括社交 ID 及從社交平台同步的個人資料(如使用 Facebook 登入則會顯示「Facebook」)。
      • 可移除現有社交身分,但無法代替使用者新增新社交帳號。
      • 對於啟用 權杖儲存 的社交連接器,可於連線詳情頁檢視與管理存取權杖 (Access tokens) 與重新整理權杖 (Refresh tokens)。
    • 企業級單一登入 (Enterprise SSO) 連線sso_identities):
      • 檢視使用者已連結的企業身分,包括企業 ID 及從企業身分提供者同步的個人資料。
      • 無法於 Console 新增或移除企業 SSO 身分。
      • 對於基於 OIDC 的企業連接器且啟用 權杖儲存 時,可於連線詳情頁檢視與刪除權杖。
  • 使用者檔案資料:姓名、頭像網址、自訂資料,以及其他未列出的 OpenID Connect 標準宣告。這些欄位皆可編輯。
注意:

在移除社交連線前,請務必確認該使用者還有其他登入方式,例如其他社交連線、電話號碼、電子郵件或使用者名稱加密碼。若無其他登入方式,移除後該使用者將無法再次存取帳號。

檢視使用者活動紀錄

要檢視使用者近期活動,請於「使用者詳情」頁面切換至「使用者日誌」子分頁。這裡會顯示一個表格,列出使用者近期活動,包括執行動作、結果、相關應用程式及執行時間。

點擊表格列可查看更多日誌細節,例如 IP 位址、使用者代理、原始資料等。

停用使用者

於「使用者詳情」頁面,點擊「三點」->「停用使用者」按鈕。

使用者被停用後,將無法登入你的應用程式,且現有存取權杖 (Access token) 失效後無法再取得新權杖。此外,該使用者發出的任何 API 請求都會失敗。

若需重新啟用該使用者,可點擊「三點」->「重新啟用使用者」按鈕。

刪除使用者

於「使用者詳情」頁面,點擊「三點」->「刪除」按鈕。刪除後無法復原。

重設使用者密碼

於「使用者詳情」頁面,點擊「三點」->「重設密碼」按鈕,Logto 將自動重新產生一組隨機密碼。

重設密碼後,請複製並傳送給終端使用者。關閉「重設密碼」視窗後將無法再次檢視密碼,若忘記保存可再次重設。

你無法在 Logto Console 為使用者設定特定密碼,但可透過 Management API PATCH /api/users/{userId}/password 指定密碼。

密碼合規性檢查

當你於 Logto 更新 密碼政策 後,現有使用者仍可用原密碼登入。僅新建立帳號需遵循最新密碼政策。

為強化安全性,你可使用 POST /api/sign-in-exp/default/check-password API 檢查使用者密碼是否符合預設登入體驗下的現行政策。若不符合,可透過 Account API 自訂流程提示使用者更新密碼。

管理使用者角色

在使用者詳情頁的「角色」分頁,你可輕鬆指派或移除角色以達成所需權限。詳見 角色型存取控制 (RBAC)

檢視使用者所屬組織

Logto 支援 組織 並可管理其成員。你可輕鬆檢視使用者詳情及其所屬組織。

透過 Logto Management API 管理

Management API 是一組存取 Logto 後端服務的 API。如前所述,使用者 API 是此服務的重要組件,可支援多種情境。

與使用者相關的 RESTful API 掛載於 /api/users,使用者活動(即使用者日誌)則為 /api/logs?userId=:userId

你可於多種情境下透過 Management API 管理使用者,例如 進階使用者搜尋批次建立帳號僅限邀請註冊 等。

常見問題

如何限制特定使用者存取某些應用程式?

由於 Logto 的 Omni-sign-in 特性,設計上並非用於於驗證 (Authentication) 前限制使用者存取特定應用程式。 不過,你仍可設計應用程式專屬的使用者角色與權限來保護你的 API 資源,並於使用者成功登入後於 API 存取時驗證權限。 詳見授權 (Authorization):角色型存取控制 (RBAC)