Konfigurera administratörssäkerhet

Vi rekommenderar att du använder ett mångfacetterat tillvägagångssätt för att skydda din butik. Du kan börja med att använda en anpassad administratörs-URL som inte är enkel att gissa sig till, i stället för den självklara "Admin" eller "Backend". Som standard måste lösenord som används för att logga in i Admin vara minst sju tecken långa och innehålla både bokstäver och siffror. Som bästa praxis bör du bara använda starka administratörslösenord som innehåller en kombination av bokstäver, siffror och symboler. Adobe Commerce och Magento Open Source tillåter inte återanvändning av de fyra sista lösenorden som tilldelats kontot.

Administratörens säkerhetskonfiguration ger dig möjlighet att:

  • Lägg till en hemlig nyckel till URL-adresser
  • Kräv att lösenord är skiftlägeskänsliga
  • Begränsa längden på administratörssessioner
  • Begränsa lösenordens livslängd
  • Begränsa antalet inloggningsförsök som kan göras innan administratörens användarkonto är låst.

För ökad säkerhet kan du konfigurera längden på tangentbordsinaktivitet innan den aktuella sessionen förfaller och kräva att användarnamnet och lösenordet är skiftlägeskänsliga.

Utöver säkerhetsinställningarna i det här avsnittet krävs tvåfaktorautentisering (2FA) för att verifiera användarens identitet med ett engångslösenord som skapas av en app eller enhet. Du uppmanas att konfigurera 2FA första gången du loggar in i Admin. För ytterligare säkerhet kan administratörsinloggningen också konfigureras så att en CAPTCHA krävs.

NOTE
Lager som har aktiverat Adobe Identity Management Services (IMS)-autentisering har inbyggda Adobe Commerce och Magento Open Source 2FA inaktiverade. Administratörsanvändare som är inloggade på sin Commerce-instans med sina inloggningsuppgifter för Adobe behöver inte autentisera igen för många administratörsuppgifter. Autentisering hanteras av Adobe IMS när administratörsanvändaren loggar in på sin aktuella session. Se Adobe Identity Management Service (IMS)-integreringsöversikt.

Mer teknisk information finns i Säkerhetsöversikt{:target="_blank"} i utvecklardokumentationen.

Administratörssäkerhet

Konfigurera administratörssäkerhet

  1. Gå till Stores > Settings>Configuration ​på sidofältet_ Admin _.

  2. Välj Admin i den vänstra panelen under Advanced.

  3. Expandera Expansionsväljaren i avsnittet Security.

  4. Om du vill förhindra att administratörsanvändare loggar in från samma konto på olika enheter anger du Admin Account Sharing till No.

  5. Om du vill fastställa vilken metod som används för att hantera begäranden om återställning av lösenord anger du Password Reset Protection Type till något av följande:

    • By IP and Email - Lösenordet kan återställas online när ett svar har tagits emot från meddelandet skickas till den e-postadress som är kopplad till administratörskontot.
    • By IP - Lösenordet kan återställas online utan ytterligare bekräftelse.
    • By Email - Lösenordet kan bara återställas genom att svara via e-post på meddelandet som skickas till den e-postadress som är kopplad till administratörskontot.
    • None - Lösenordet kan bara återställas av butiksadministratören.
  6. Ange säkerhetsalternativ för inloggning:

    • För Recovery Link Expiration Period (hours) anger du det antal timmar en länk för lösenordsåterställning fortfarande är giltig.

    • Om du vill fastställa det maximala antalet lösenordsbegäranden som kan skickas per timme anger du numret för Max Number of Password Reset Requests.

    • För Min Time Between Password Reset Requests anger du det minsta antal minuter som måste gå mellan begäranden om återställning av lösenord.

    • Ange Add Secret Key to URLs till Yes om du vill lägga till en hemlig nyckel till Admin URL som en försiktighetsåtgärd mot attacker. Den här inställningen är aktiverad som standard.

    • Om du vill kräva att användningen av gemener och versaler i de inloggningsuppgifter som anges matchar det som lagras i systemet anger du Login is Case Sensitive till Yes.

    • Om du vill fastställa längden på en administratörssession innan den timeout uppstår anger du sessionens varaktighet i sekunder för fältet Admin Session Lifetime (seconds). Värdet måste vara minst 60 sekunder.

    • För Maximum Login Failures to Lockout Account anger du det antal gånger en användare kan försöka logga in på administratören innan kontot är låst. Som standard tillåts sex försök. Lämna fältet tomt för obegränsat antal inloggningsförsök.

    • För Lockout Time (minutes) anger du det antal minuter som ett administratörskonto är låst när det maximala antalet försök uppfylls.

  7. Ange alternativ för lösenord:

    • Om du vill begränsa livslängden för administratörslösenord anger du antalet dagar som ett lösenord är giltigt för Password Lifetime (days). Under en obegränsad livstid lämnar du fältet tomt.

    • Ange Password Change till något av följande:

      • Forced - Kräver att administratörsanvändare ändrar sina lösenord efter kontoinställningarna.
      • Recommended - Rekommenderar att administratörsanvändare ändrar sina lösenord efter kontokonfigurationen.
  8. Klicka på Save Config när du är klar.

Krav för administratörslösenord

Som standard måste ett administratörslösenord innehålla minst sju tecken och innehålla både bokstäver och siffror.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1