Passer au contenu principal
Vous pouvez utiliser l’API Auth0 pour l’authentification multifacteur (MFA) pour compléter le flux d’authentification à l’aide du Flux de mot de passe du propriétaire de ressource (parfois appelé Autorisation de mot de passe du propriétaire des ressources ou ROPG lorsque est activée.

Prérequis

Avant de pouvoir utiliser les API MFA, vous devrez activer le type d’autorisation MFA pour votre application. Accédez à Auth0 Dashboard > Applications > Paramètres avancés > Types d’autorisation et sélectionnez MFA.

Authentifier l’utilisateur

Lorsque vous utilisez le Flux de mot de passe du propriétaire de ressource pour l’authentification, vous appelez le point de terminaison /oauth/token avec le nom d’utilisateur et le mot de passe de l’utilisateur. 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=password \
  --data username=user@example.com \
  --data password=pwd \
  --data 'client_id={yourClientId}' \
  --data 'client_secret={yourClientSecret}' \
  --data audience=https://someapi.com/api \
  --data 'scope=openid profile read:sample'
Lorsque MFA est activé, la réponse comprend une erreur mfa_required et un jeton mfa_token.
Le délai d’expiration par défaut des jetons d’accès avec l’audience https://{yourDomain}/mfa/* est de 10 minutes. Cette valeur ne peut pas être configurée.
Après avoir reçu l’erreur ci-dessus, vous devez vérifier si l’utilisateur a un facteur MFA enregistré ou non. Appelez le point de terminaison MFA Authenticators (Authentificateurs MFA), en utilisant le jeton MFA obtenu dans la section précédente.

Récupérer les facteurs d’authentification enregistrés

Après avoir reçu l’erreur ci-dessus, vous devez vérifier si l’utilisateur a un facteur MFA enregistré ou non. Appelez le point de terminaison Authentificateurs MFA, en utilisant le jeton MFA obtenu dans la section précédente. Vous recevrez un tableau avec les facteurs d’authentification disponibles. Le tableau sera vide si l’utilisateur n’a pas enregistré de facteur. Vous recevrez un tableau avec les facteurs d’authentification disponibles. Le tableau sera vide si l’utilisateur n’a pas enregistré de facteur. Si l’utilisateur n’est pas enregistré dans MFA, utilisez un jeton MFA obtenu précédemment et enregistrez-le en utilisant le point de terminaison MFA Associate. Consultez les liens suivants pour mettre en œuvre ce flux basé sur le facteur d’authentification :

Enregistrer un facteur MFA

Si l’utilisateur est déjà enregistré pour l’authentification MFA, vous devez le défier avec l’un des facteurs existants. Utiliser le retour authenticator_id du point de terminaison des authentificateurs MFA lors de l’appel au point de terminaison du défi MFA.

Défier l’utilisateur avec la MFA

Si l’utilisateur est déjà enregistré pour l’authentification MFA, vous devez le défier avec l’un des facteurs existants. Utiliser le retour authenticator_id du point de terminaison des authentificateurs MFA lors de l’appel au point de terminaison du défi MFA. Une fois le défi terminé, appelez de nouveau le point de terminaison /oauth/token pour finaliser le flux d’authentification et obtenir les jetons d’authentification. Consultez les liens ci-dessous pour mettre en œuvre ce flux en fonction du facteur d’authentification :

Limitations et restrictions des codes OTP pour l’authentification MFA

Délai d’expiration : Le délai d’expiration des codes OTP pour l’authentification MFA est de 5 minutes. Cette valeur n’est pas configurable. Validation du code : Une fois qu’un utilisateur a utilisé un code OTP pour l’authentification MFA, ce code ne peut plus être utilisé. Limite anti-attaques de validation des codes : Les tentatives de validation infructueuses de l’utilisateur ont une limite anti-attaques limitée par un algorithme de tri par casiers. L’algorithme autorise 10 tentatives, puis se rafraîchit pour autoriser ensuite une nouvelle tentative toutes les 6 minutes.

En savoir plus

I