Aller au contenu principal

Gérer les utilisateurs

Gérer via la Console Logto

Parcourir et rechercher des utilisateurs

Pour accéder à la fonctionnalité de gestion des utilisateurs dans la Console Logto, accédez à Console > Gestion des utilisateurs. Une fois sur place, vous verrez une vue en tableau de tous les utilisateurs.

Le tableau se compose de trois colonnes :

  • Utilisateur : Affiche les informations sur l'utilisateur, telles que son avatar, son nom complet, son nom d'utilisateur, son numéro de téléphone et son e-mail.
  • Depuis l'application : Affiche le nom de l'application avec laquelle l'utilisateur s'est initialement inscrit.
  • Dernière connexion : Affiche l'horodatage de la connexion la plus récente de l'utilisateur.

La recherche prend en charge la correspondance de mots-clés pour name, id, username, primary-phone, primary-email.

Ajouter des utilisateurs

Grâce à la Console, les développeurs peuvent créer de nouveaux comptes pour les utilisateurs finaux. Pour ce faire, cliquez sur le bouton "Ajouter un utilisateur" dans le coin supérieur droit de l'écran.

Lors de la création d'un utilisateur dans la Console Logto ou via le Management API (et non par auto-inscription de l'utilisateur via l'interface), vous devez fournir au moins un identifiant : primary email, primary phone ou username. Le champ name est facultatif.

Après la création de l'utilisateur, Logto générera automatiquement un mot de passe aléatoire. Le mot de passe initial n'apparaîtra qu'une seule fois, mais vous pouvez réinitialiser le mot de passe ultérieurement. Si vous souhaitez définir un mot de passe spécifique, utilisez le Management API patch /api/users/{userId}/password pour le mettre à jour après la création de l'utilisateur.

Vous pouvez copier les identifiants saisis (adresse e-mail / numéro de téléphone / nom d'utilisateur) et le mot de passe initial en un clic, ce qui facilite le partage de ces informations avec le nouvel utilisateur afin qu'il puisse se connecter et commencer.

astuce:

Si vous souhaitez mettre en place une inscription sur invitation uniquement, nous recommandons d'inviter les utilisateurs avec un lien magique. Cela permet uniquement aux utilisateurs autorisés de s'auto-inscrire et de définir leur propre mot de passe.

Voir et mettre à jour le profil utilisateur

Pour afficher les détails d'un utilisateur, cliquez simplement sur la ligne correspondante dans le tableau des utilisateurs. Cela vous amènera à la page "Détails de l'utilisateur" où vous trouverez les informations de profil de l'utilisateur, notamment :

  • Données liées à l'authentification :
    • Adresse e-mail (primary_email) : Modifiable
    • Numéro de téléphone (primary_phone) : Modifiable
    • Nom d'utilisateur (username) : Modifiable
    • Mot de passe (has_password) : Vous pouvez régénérer un mot de passe aléatoire. En savoir plus sur "Réinitialiser le mot de passe de l'utilisateur".
    • Authentification multi-facteurs (MFA) (mfa_verification_factor) : Affichez tous les facteurs d'authentification (par exemple, passkeys, applications d'authentification, codes de secours) que cet utilisateur a configurés. Les facteurs peuvent être supprimés dans la Console.
    • Passkeys : Lorsque la connexion par passkey est activée dans le tenant, vous pouvez également voir les passkeys de connexion de l'utilisateur sur la page de détails et les supprimer si nécessaire. Ces passkeys sont basées sur le même modèle d'identifiants WebAuthn utilisé par la MFA.
    • Jeton d’accès personnel : Créez, affichez, renommez et supprimez les jetons d’accès personnels.
  • Connexion :
    • Connexions sociales (identities) :
      • Affichez les comptes sociaux liés de l'utilisateur, y compris les identifiants sociaux et les détails du profil synchronisés depuis leurs fournisseurs sociaux (par exemple, une entrée "Facebook" apparaîtra si l'utilisateur s'est connecté via Facebook).
      • Vous pouvez supprimer les identités sociales existantes, mais vous ne pouvez pas lier de nouveaux comptes sociaux au nom de l'utilisateur.
      • Pour les connecteurs sociaux avec stockage de jetons activé, vous pouvez afficher et gérer les jetons d’accès et les jetons de rafraîchissement sur la page de détail de la connexion.
    • Connexions SSO d’entreprise (sso_identities) :
      • Affichez les identités d’entreprise liées de l'utilisateur, y compris les identifiants d’entreprise et les détails du profil synchronisés depuis leurs fournisseurs d'identité d’entreprise.
      • Vous ne pouvez pas ajouter ou supprimer d'identités SSO d’entreprise dans la Console.
      • Pour les connecteurs d’entreprise OIDC avec stockage de jetons activé, vous pouvez afficher et supprimer les jetons sur la page de détail de la connexion.
  • Données de profil utilisateur : nom, URL de l'avatar, données personnalisées et revendications standard OpenID Connect supplémentaires non incluses. Tous ces champs de profil sont modifiables.
  • Sessions : Affichez la liste des sessions actives de l'utilisateur, y compris les informations sur l'appareil, l'identifiant de session et la localisation GEO si applicable. Affichez plus de détails sur une session et révoquez-la sur la page de détail de la session.
attention:

Il est important de vérifier que l'utilisateur dispose d'une méthode de connexion alternative avant de supprimer une connexion sociale, telle qu'une autre connexion sociale, un numéro de téléphone, une adresse e-mail ou un nom d'utilisateur avec mot de passe. Si l'utilisateur ne dispose d'aucune autre méthode de connexion, il ne pourra plus accéder à son compte une fois la connexion sociale supprimée.

Voir les activités de l'utilisateur

Pour consulter les activités récentes d'un utilisateur, accédez à l'onglet "Journaux utilisateur" sur la page "Détails de l'utilisateur". Vous y trouverez un tableau affichant les activités récentes de l'utilisateur, y compris l'action effectuée, le résultat de l'action, l'application concernée et l'heure de l'action.

Cliquez sur la ligne du tableau pour voir plus de détails dans le journal utilisateur, par exemple l'adresse IP, l'agent utilisateur, les données brutes, etc.

Suspendre un utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Suspendre l'utilisateur".

Une fois qu'un utilisateur est suspendu, il ne pourra plus se connecter à votre application et ne pourra plus obtenir de nouveau jeton d’accès après l'expiration de l'actuel. De plus, toute requête API effectuée par cet utilisateur échouera.

Si vous souhaitez réactiver cet utilisateur, vous pouvez le faire en cliquant sur "Trois points" -> bouton "Réactiver l'utilisateur".

Supprimer un utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Supprimer". La suppression d'un utilisateur est irréversible.

Réinitialiser le mot de passe de l'utilisateur

Sur la page "Détails de l'utilisateur", cliquez sur "Trois points" -> bouton "Réinitialiser le mot de passe", puis Logto régénérera automatiquement un mot de passe aléatoire.

Après avoir réinitialisé le mot de passe, copiez-le et envoyez-le à l'utilisateur final. Une fois la fenêtre de réinitialisation du mot de passe fermée, vous ne pourrez plus voir le mot de passe. Si vous oubliez de le conserver, vous pouvez le réinitialiser à nouveau.

Vous ne pouvez pas définir un mot de passe spécifique pour les utilisateurs dans la Console Logto, mais vous pouvez utiliser le Management API PATCH /api/users/{userId}/password pour spécifier un mot de passe.

Gérer les sessions actives de l'utilisateur

Sur la page "Détails de l'utilisateur", accédez à la page "Détails de la session" en cliquant sur le bouton "Gérer" d'une session spécifique. Vous pouvez y consulter des informations détaillées sur la session, telles que l'appareil, la localisation et l'heure de connexion. Si vous souhaitez déconnecter l'utilisateur de cette session, cliquez simplement sur le bouton "Révoquer la session" en haut à droite, et la session sera immédiatement révoquée.

  • Par défaut, la révocation d'une session dans la Console révoquera également toutes les autorisations d'applications propriétaires associées à cette session, et l'utilisateur devra se reconnecter pour restaurer l'accès. Tous les jetons d’accès opaques et jetons de rafraîchissement préalablement émis pour les applications propriétaires seront également révoqués immédiatement.
  • Pour les applications tierces avec la portée offline_access, la révocation d'une session ne révoque pas l'autorisation de l'application par défaut. Les jetons de rafraîchissement préalablement émis peuvent toujours être utilisés jusqu'à la première des échéances suivantes : expiration de l'autorisation, expiration du jeton de rafraîchissement ou révocation explicite.

Gérer les applications tierces autorisées par l'utilisateur

Sur la page "Détails de l'utilisateur", vous pouvez utiliser la section "Applications tierces autorisées" pour examiner le statut d'autorisation des applications pour l'utilisateur. Cette section est alimentée par les APIs de gestion des applications autorisées par l'utilisateur (grants).

Pour chaque application autorisée, la Console affiche :

  • Nom de l'application
  • ID de l'application
  • Date de création de l'accès

Si vous devez supprimer l'accès, cliquez sur l'action de révocation et confirmez dans la fenêtre modale.

La révocation d'une autorisation d'application supprime toutes les autorisations tierces actives associées à cette application pour l'utilisateur. Elle révoquera également immédiatement tous les jetons d’accès opaques et jetons de rafraîchissement préalablement émis pour cette application.

Vérification de conformité du mot de passe

Après avoir mis à jour la politique de mot de passe dans Logto, les utilisateurs existants peuvent toujours se connecter avec leur mot de passe actuel. Seuls les nouveaux comptes créés devront respecter la politique de mot de passe mise à jour.

Pour appliquer une sécurité renforcée, vous pouvez utiliser l'API POST /api/sign-in-exp/default/check-password pour vérifier si le mot de passe d'un utilisateur respecte la politique actuelle définie dans l'expérience de connexion par défaut. Si ce n'est pas le cas, vous pouvez inviter l'utilisateur à mettre à jour son mot de passe via un flux personnalisé utilisant Account API.

Gérer les rôles des utilisateurs

Dans l'onglet "Rôles" de la page de détails de l'utilisateur, vous pouvez facilement attribuer ou retirer des rôles selon vos besoins. Consultez Contrôle d’accès basé sur les rôles (RBAC) pour plus de détails.

Voir les organisations auxquelles appartient l'utilisateur

Logto prend en charge les organisations et peut gérer leurs membres. Vous pouvez facilement consulter les détails de l'utilisateur et voir à quelle organisation il appartient.

Gérer via le Management API Logto

Le Management API est un ensemble d'APIs qui donnent accès au service backend de Logto. Comme mentionné précédemment, l'API utilisateur est un composant essentiel de ce service et peut prendre en charge un large éventail de scénarios.

Les APIs RESTful liées aux utilisateurs sont montées sur /api/users à l'exception des activités utilisateur, c'est-à-dire les journaux utilisateur /api/logs?userId=:userId.

Vous pouvez gérer les utilisateurs via le Management API dans plusieurs cas d'utilisation, tels que recherche avancée d'utilisateurs, création de comptes en masse, inscription sur invitation uniquement, etc.

FAQ

Comment restreindre l'accès à certaines applications pour des utilisateurs spécifiques ?

En raison de la nature Omni-sign-in de Logto, il n'est pas conçu pour restreindre l'accès des utilisateurs à certaines applications avant l'authentification. Cependant, vous pouvez toujours concevoir des rôles et des permissions spécifiques à l'application pour protéger vos ressources API, et valider les permissions lors de l'accès à l'API après la connexion réussie de l'utilisateur. Consultez Autorisation : Contrôle d’accès basé sur les rôles (RBAC) pour plus d'informations.