feat: allow to force MFA local only (#6234)

This PR adds an option to the LoginPolicy to "Force MFA for local users", so that users authenticated through an IDP must not configure (and verify) an MFA.
2025-08-11 18:17:35 +00:00 · 2023-07-20 06:06:16 +02:00
parent 1c3a15ff57
commit fed15574f6
49 changed files with 488 additions and 94 deletions
--- a/console/src/app/modules/policies/login-policy/login-policy.component.html
+++ b/console/src/app/modules/policies/login-policy/login-policy.component.html
@@ -99,6 +99,28 @@
    {{ 'POLICY.DATA.FORCEMFA' | translate }}
  </mat-checkbox>
 </div>
+<div *ngIf="loginData" class="login-policy-row">
+  <mat-checkbox
+    card-actions
+    class="login-policy-toggle"
+    color="primary"
+    ngDefaultControl
+    [(ngModel)]="loginData.forceMfaLocalOnly"
+    [disabled]="
+      ([
+        serviceType === PolicyComponentServiceType.ADMIN
+          ? 'iam.policy.write'
+          : serviceType === PolicyComponentServiceType.MGMT
+          ? 'policy.write'
+          : ''
+      ]
+        | hasRole
+        | async) === false
+    "
+  >
+    {{ 'POLICY.DATA.FORCEMFALOCALONLY' | translate }}
+  </mat-checkbox>
+</div>
 <cnsl-card class="max-card-width" *ngIf="loginData">
  <cnsl-factor-table
    [service]="service"
--- a/console/src/app/modules/policies/login-policy/login-policy.component.ts
+++ b/console/src/app/modules/policies/login-policy/login-policy.component.ts
@@ -152,6 +152,7 @@ export class LoginPolicyComponent implements OnInit {
            mgmtreq.setAllowRegister(this.loginData.allowRegister);
            mgmtreq.setAllowUsernamePassword(this.loginData.allowUsernamePassword);
            mgmtreq.setForceMfa(this.loginData.forceMfa);
+            mgmtreq.setForceMfaLocalOnly(this.loginData.forceMfaLocalOnly);
            mgmtreq.setPasswordlessType(this.loginData.passwordlessType);
            mgmtreq.setHidePasswordReset(this.loginData.hidePasswordReset);
            mgmtreq.setMultiFactorsList(this.loginData.multiFactorsList);
@@ -185,6 +186,7 @@ export class LoginPolicyComponent implements OnInit {
            mgmtreq.setAllowRegister(this.loginData.allowRegister);
            mgmtreq.setAllowUsernamePassword(this.loginData.allowUsernamePassword);
            mgmtreq.setForceMfa(this.loginData.forceMfa);
+            mgmtreq.setForceMfaLocalOnly(this.loginData.forceMfaLocalOnly);
            mgmtreq.setPasswordlessType(this.loginData.passwordlessType);
            mgmtreq.setHidePasswordReset(this.loginData.hidePasswordReset);
            mgmtreq.setDisableLoginWithEmail(this.loginData.disableLoginWithEmail);
@@ -217,6 +219,7 @@ export class LoginPolicyComponent implements OnInit {
          adminreq.setAllowRegister(this.loginData.allowRegister);
          adminreq.setAllowUsernamePassword(this.loginData.allowUsernamePassword);
          adminreq.setForceMfa(this.loginData.forceMfa);
+          adminreq.setForceMfaLocalOnly(this.loginData.forceMfaLocalOnly);
          adminreq.setPasswordlessType(this.loginData.passwordlessType);
          adminreq.setHidePasswordReset(this.loginData.hidePasswordReset);
          adminreq.setDisableLoginWithEmail(this.loginData.disableLoginWithEmail);
--- a/console/src/assets/i18n/bg.json
+++ b/console/src/assets/i18n/bg.json
@@ -1335,6 +1335,8 @@
      "ALLOWREGISTER_DESC": "Ако опцията е избрана, в входа се появява допълнителна стъпка за регистрация на потребител.",
      "FORCEMFA": "Сила MFA",
      "FORCEMFA_DESC": "Ако опцията е избрана, потребителите трябва да конфигурират втори фактор за влизане.",
+      "FORCEMFALOCALONLY": "Принудително MFA за локални потребители",
+      "FORCEMFALOCALONLY_DESC": "Ако е избрана опцията, локалните удостоверени потребители трябва да конфигурират втори фактор за влизане.",
      "HIDEPASSWORDRESET": "Скриване на нулиране на парола",
      "HIDEPASSWORDRESET_DESC": "Ако опцията е избрана, потребителят не може да нулира паролата си в процеса на влизане.",
      "HIDELOGINNAMESUFFIX": "Скриване на суфикса на името за влизане",
--- a/console/src/assets/i18n/de.json
+++ b/console/src/assets/i18n/de.json
@@ -1339,8 +1339,10 @@
      "ALLOWUSERNAMEPASSWORD_DESC": "Der konventionelle Login mit Benutzername und Passwort wird erlaubt.",
      "ALLOWEXTERNALIDP_DESC": "Der Login wird für die darunter liegenden Identitätsanbieter erlaubt.",
      "ALLOWREGISTER_DESC": "Ist die Option gewählt, erscheint im Login ein zusätzlicher Schritt zum Registrieren eines Benutzers.",
-      "FORCEMFA": "Mfa erzwingen",
+      "FORCEMFA": "MFA erzwingen",
      "FORCEMFA_DESC": "Ist die Option gewählt, müssen Benutzer einen zweiten Faktor für den Login verwenden.",
+      "FORCEMFALOCALONLY": "MFA für lokale Users erzwingen",
+      "FORCEMFALOCALONLY_DESC": "Ist die Option gewählt, müssen lokal authentifizierte Benutzer einen zweiten Faktor für den Login verwenden.",
      "HIDEPASSWORDRESET": "Passwort vergessen ausblenden",
      "HIDEPASSWORDRESET_DESC": "Ist die Option gewählt, ist es nicht möglich im Login das Passwort zurück zusetzen via Passwort vergessen Link.",
      "HIDELOGINNAMESUFFIX": "Loginname Suffix ausblenden",
--- a/console/src/assets/i18n/en.json
+++ b/console/src/assets/i18n/en.json
@@ -1342,6 +1342,8 @@
      "ALLOWREGISTER_DESC": "If the option is selected, an additional step for registering a user appears in the login.",
      "FORCEMFA": "Force MFA",
      "FORCEMFA_DESC": "If the option is selected, users have to configure a second factor for login.",
+      "FORCEMFALOCALONLY": "Force MFA for local authenticated users",
+      "FORCEMFALOCALONLY_DESC": "If the option is selected, local authenticated users have to configure a second factor for login.",
      "HIDEPASSWORDRESET": "Hide Password reset",
      "HIDEPASSWORDRESET_DESC": "If the option is selected, the user can't reset his password in the login process.",
      "HIDELOGINNAMESUFFIX": "Hide Loginname suffix",
--- a/console/src/assets/i18n/es.json
+++ b/console/src/assets/i18n/es.json
@@ -1342,6 +1342,8 @@
      "ALLOWREGISTER_DESC": "Si esta opción es seleccionada, aparece un paso adicional durante el inicio de sesión para registrar un usuario.",
      "FORCEMFA": "Forzar MFA",
      "FORCEMFA_DESC": "Si esta opción es seleccionada, los usuarios tendrán que configurar un doble factor para iniciar sesión.",
+      "FORCEMFALOCALONLY": "Forzar MFA para usuarios locales",
+      "FORCEMFALOCALONLY_DESC": "Si esta opción es seleccionada, los usuarios autenticados localmente tendrán que configurar un doble factor para iniciar sesión",
      "HIDEPASSWORDRESET": "Ocultar restablecer contraseña",
      "HIDEPASSWORDRESET_DESC": "Si esta opción es seleccionada, el usuario no podrá restablecer su contraseña en el proceso de inicio de sesión.",
      "HIDELOGINNAMESUFFIX": "Ocultar sufijo del nombre de inicio de sesión",
--- a/console/src/assets/i18n/fr.json
+++ b/console/src/assets/i18n/fr.json
@@ -1341,6 +1341,8 @@
      "ALLOWREGISTER_DESC": "Si l'option est sélectionnée, une étape supplémentaire pour l'enregistrement d'un utilisateur apparaît dans la connexion.",
      "FORCEMFA": "Forcer MFA",
      "FORCEMFA_DESC": "Si l'option est sélectionnée, les utilisateurs doivent configurer un deuxième facteur pour la connexion.",
+      "FORCEMFALOCALONLY": "Forcer MFA pour les utilisateurs locaux",
+      "FORCEMFALOCALONLY_DESC": "Si l'option est sélectionnée, les utilisateurs locaux authentifiés doivent configurer un deuxième facteur pour la connexion.",
      "HIDEPASSWORDRESET": "Masquer la réinitialisation du mot de passe",
      "HIDEPASSWORDRESET_DESC": "Si l'option est sélectionnée, l'utilisateur ne peut pas réinitialiser son mot de passe lors du processus de connexion.",
      "HIDELOGINNAMESUFFIX": "Masquer le suffixe du nom de connexion",
--- a/console/src/assets/i18n/it.json
+++ b/console/src/assets/i18n/it.json
@@ -1341,6 +1341,8 @@
      "ALLOWREGISTER_DESC": "Se l'opzione \u00e8 selezionata, nel login apparirà un passo aggiuntivo per la registrazione di un utente.",
      "FORCEMFA": "Forza MFA",
      "FORCEMFA_DESC": "Se l'opzione \u00e8 selezionata, gli utenti devono configurare un secondo fattore per il login.",
+      "FORCEMFALOCALONLY": "Forza MFA per gli utenti locali",
+      "FORCEMFALOCALONLY_DESC": "Se l'opzione è selezionata, gli utenti locali autenticati devono configurare un secondo fattore per l'accesso.",
      "HIDEPASSWORDRESET": "Nascondi ripristino della password",
      "HIDEPASSWORDRESET_DESC": "Se l'opzione \u00e8 selezionata, l'utente non pu\u00f2 resettare la sua password nel interfaccia login.",
      "HIDELOGINNAMESUFFIX": "Nascondi il suffisso del nome utente",
--- a/console/src/assets/i18n/ja.json
+++ b/console/src/assets/i18n/ja.json
@@ -1337,6 +1337,8 @@
      "ALLOWREGISTER_DESC": "このオプションが選択されている場合、ユーザーを登録するための追加のステップがログインに表示されます。",
      "FORCEMFA": "MFAを強制する",
      "FORCEMFA_DESC": "このオプションが選択されている場合、ユーザーはログイン用の二要素認証を構成する必要があります。",
+      "FORCEMFALOCALONLY": "ローカル ユーザーに MFA を強制する",
+      "FORCEMFALOCALONLY_DESC": "オプションが選択されている場合、ローカル認証されたユーザーはログインの 2 番目の要素を構成する必要があります。",
      "HIDEPASSWORDRESET": "パスワードリセットを非表示にする",
      "HIDEPASSWORDRESET_DESC": "このオプションが選択されている場合、ユーザーはログイン過程ででパスワードをリセットできません。",
      "HIDELOGINNAMESUFFIX": "ログイン名の接尾辞を非表示にする",
--- a/console/src/assets/i18n/mk.json
+++ b/console/src/assets/i18n/mk.json
@@ -1342,6 +1342,8 @@
      "ALLOWREGISTER_DESC": "Доколку е избрана опцијата, се прикажува дополнителен чекор за регистрирање на корисник во најавата.",
      "FORCEMFA": "Задолжителна MFA",
      "FORCEMFA_DESC": "Доколку е избрана опцијата, корисниците мораат да конфигурираат втор фактор за најава.",
+      "FORCEMFALOCALONLY": "Force MFA за локални корисници",
+      "FORCEMFALOCALONLY_DESC": "Ако е избрана опцијата, локалните автентицирани корисници треба да конфигурираат втор фактор за најавување.",
      "HIDEPASSWORDRESET": "Сокриј го ресетирањето на лозинка",
      "HIDEPASSWORDRESET_DESC": "Доколку е избрана опцијата, корисникот нема да може да ја ресетира својата лозинка во процесот на најава.",
      "HIDELOGINNAMESUFFIX": "Сокриј го суфиксот на корисничкото име",
--- a/console/src/assets/i18n/pl.json
+++ b/console/src/assets/i18n/pl.json
@@ -1341,6 +1341,8 @@
      "ALLOWREGISTER_DESC": "Jeśli ta opcja jest zaznaczona, pojawi się dodatkowy krok rejestracji użytkownika w procesie logowania.",
      "FORCEMFA": "Wymuś MFA",
      "FORCEMFA_DESC": "Jeśli ta opcja jest zaznaczona, użytkownicy muszą skonfigurować drugi czynnik logowania.",
+      "FORCEMFALOCALONLY": "Wymuś MFA dla lokalnych użytkowników",
+      "FORCEMFALOCALONLY_DESC": "Jeśli ta opcja jest zaznaczona, lokalni uwierzytelnieni użytkownicy muszą skonfigurować drugi czynnik logowania.",
      "HIDEPASSWORDRESET": "Ukryj reset hasła",
      "HIDEPASSWORDRESET_DESC": "Jeśli ta opcja jest zaznaczona, użytkownik nie może zresetować swojego hasła w procesie logowania.",
      "HIDELOGINNAMESUFFIX": "Ukryj sufiks nazwy użytkownika",
--- a/console/src/assets/i18n/zh.json
+++ b/console/src/assets/i18n/zh.json
@@ -1340,6 +1340,8 @@
      "ALLOWREGISTER_DESC": "如果选择了该选项，登录中会出现一个用于注册用户的附加步骤。",
      "FORCEMFA": "强制使用 MFA",
      "FORCEMFA_DESC": "如果选择该选项，用户必须配置第二身份认证登录因素。",
+      "FORCEMFALOCALONLY": "对本地用户强制执行 MFA",
+      "FORCEMFALOCALONLY_DESC": "如果选择该选项，本地经过身份验证的用户必须配置第二个登录因素。",
      "HIDEPASSWORDRESET": "隐藏密码重置按钮",
      "HIDEPASSWORDRESET_DESC": "如果选择该选项，则用户无法在登录过程中重置其密码。",
      "HIDELOGINNAMESUFFIX": "隐藏登录名后缀",