Passer au contenu principal
Auth0 offre un flux intégré d’enregistrement et d’authentification  en utilisant la connexion universelle. Cependant, si vous souhaitez créer votre propre interface utilisateur, vous pouvez utiliser l’API MFA pour ce faire. Vous pouvez inscrire et lancer un défi-réponse pour les utilisateurs avec des notifications poussées, avec l’application ou la trousse SDK Guardian en utilisant MFA API.

Prérequis

Avant de pouvoir utiliser les API MFA, vous devrez activer le type d’autorisation MFA pour votre application. Accédez à Auth0 Dashboard > Applications > Paramètres avancés > Types d’autorisation et sélectionnez MFA.

Inscrire avec Push

Obtenir un jeton MFA

En fonction du moment où vous lancez l’enregistrement, vous pouvez obtenir un jeton d’accès en utilisant l’API MFA de plusieurs façons :

Inscrire des facteurs d’authentification

Faites une demande POST (PUBLIER) au point de terminaison d’association MFA pour enregistrer le facteur d’authentification de l’utilisateur. Le jeton du porteur requis par ce point de terminaison est le jeton MFA obtenu à l’étape précédente. Pour inscrire avec Push, définissez le paramètre authenticator_types sur [oob] et le paramètre oob_channels sur [auth0]. 
curl --request POST \
  --url 'https://{yourDomain}/mfa/associate' \
  --header 'authorization: Bearer MFA_TOKEN' \
  --header 'content-type: application/json' \
  --data '{ "authenticator_types": ["oob"], "oob_channels": ["auth0"] }'
Si l’étape réussie, vous recevez une réponse comme celle-ci : 
{
    "authenticator_type": "oob",
    "barcode_uri": "otpauth://totp/tenant:user?enrollment_tx_id=qfjn2eiNYSjU3xID7dBYeCBSrdREWJPY&base_url=tenan",
    "recovery_codes": [
        "ALKE6EJZ4853BJYLM2DM2WU7"
    ],
    "oob_channel": "auth0",
    "oob_code": "Fe26.2...SYAg"
}
Si vous recevez une erreur User is already enrolled (Utilisateur déjà inscrit), l’utilisateur a déjà un facteur MFA inscrit. Avant d’associer un autre facteur à l’utilisateur, vous devez lancer un défi-réponse à l’utilisateur avec le facteur existant. Si c’est la première fois que l’utilisateur associe un authentifiant, vous remarquerez que la réponse comprend recovery_codes. Les codes de récupération sont utilisés pour accéder au compte de l’utilisateur dans le cas où il perdrait l’accès au compte ou à l’appareil utilisé pour son authentification à deux facteurs. Ce sont des codes à usage unique, et de nouveaux codes sont générés au besoin.

Confirmer l’inscription avec Push

Pour confirmer l’inscription, l’utilisateur final devra balayer un code QR avec le barcode_uri dans l’application Guardian dans les 5 minutes qui suivent. Ensuite, l’application Guardian application informera Auth0 que l’utilisateur a bien été inscrit. Pour savoir si cela s’est produit, interrogez le point de terminaison des jetons Auth0 avec le code oob_code renvoyé par l’appel au point de terminaison MFA Associate. 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'authorization: Bearer {mfaToken}' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=http://auth0.com/oauth/grant-type/mfa-oob \
  --data 'client_id={yourClientId}' \
  --data 'client_secret={yourClientSecret}' \
  --data 'mfa_token={mfaToken}' \
  --data 'oob_code={oobCode}'
Si l’utilisateur n’a pas balayé le code, une réponse authorization_pending sera renvoyée, indiquant que vous devez appeler de nouveau oauth_token dans quelques secondes : 
{
    "error": "authorization_pending",
    "error_description": "Authorization pending: please repeat the request in a few seconds."
}
Si l’appel ne réussi pas, vous recevrez une réponse dans le format suivant, contenant le jeton d’accès : 
{
  "id_token": "eyJ...i",
  "access_token": "eyJ...i",
  "expires_in": 600,
  "scope": "openid profile",
  "token_type": "Bearer"
}
À ce stade, l’authentificateur est entièrement associé et prêt à être utilisé, et vous disposez des jetons d’authentification pour l’utilisateur. À tout moment, vous pouvez vérifier si un authentificateur a été confirmé en appelant le point de terminaison des facteurs d’authentification MFA. Si l’authentification est confirmée, la valeur passe de active à réelle.

Lancer un défi-réponse avec Push

Obtenir un jeton MFA

Obtenez un jeton MFA en suivant les étapes décrites dans Authentification avec le propriétaire de la ressource Autorisation par mot de passe et MFA.

Récupérer les facteurs d’authentification enregistrés

Pour effectuer le défi-réponse avec l’utilisateur, vous aurez besoin de l’authenticator_id pour le facteur que vous désirez utiliser. Vous pouvez énumérer toutes les authentifications à l’aide du point de terminaison des facteurs d’authentification multifacteur : 
curl --request GET \
  --url 'https://{yourDomain}/mfa/authenticators' \
  --header 'authorization: Bearer MFA_TOKEN' \
  --header 'content-type: application/json'
Vous obtiendrez une liste de facteurs d’authentification avec le format suivant : 
[
    {
        "id": "recovery-code|dev_Ahb2Tb0ujX3w7ilC",
        "authenticator_type": "recovery-code",
        "active": true
    },
    {
        "id": "push|dev_ZUla9SQ6tAIHSz6y",
        "authenticator_type": "oob",
        "active": true,
        "oob_channel": "auth0",
        "name": "user's device name"
    },
    {
        "id": "totp|dev_gJ6Y6vpSrjnKeT67",
        "authenticator_type": "otp",
        "active": true
    }
]
Lorsque les utilisateurs s’inscrivent avec Push, ils sont également inscrits dans OTP, car Guardian prend en charge les défis-réponses avec OTP dans les scénarios où l’utilisateur ne dispose pas de connectivité.

Lancer un défi-réponse à l’utilisateur avec Push

Pour déclencher un défi-réponse avec courriel, POST au point de terminaison du défi-réponse d’AMF à l’aide de l’ authenticator_id correspondante et du mfa_token. 
curl --request POST \
  --url 'https://{yourDomain}/mfa/challenge' \
  --data '{ "client_id": "{yourClientId}",  "client_secret": "{yourClientSecret", "challenge_type": "oob", "authenticator_id": "push|dev_ZUla9SQ6tAIHSz6y", "mfa_token": "{mfaToken}" }'

Compléter l’authentification à l’aide du code reçu

Si l’opération réussit, vous recevrez la réponse suivante : 
{
    "challenge_type": "oob",
    "oob_code": "Fe26...jGco"
}
Votre application doit commencer à interroger le point de terminaison OAuth0 Token jusqu’à ce que l’utilisateur accepte la notification poussée. 
curl --request POST \
  --url 'https://{yourDomain}/oauth/token' \
  --header 'content-type: application/x-www-form-urlencoded' \
  --data grant_type=http://auth0.com/oauth/grant-type/mfa-oob \
  --data 'client_id={yourClientId}' \
  --data 'client_secret={yourClientSecret}' \
  --data 'mfa_token={mfaToken}' \
  --data 'oob_code={oobCode}'
L’appel peut renvoyer un des résultats suivants :
RésultatDescription
authorization_pendingErreur : Si le défi-réponse n’a pas été accepté ou rejeté.
slow_downErreur : Si l’interrogation est trop fréquente.
access_token et refresh_tokenSi le défi-réponse a été accepté, l’interrogation devrait être arrêtée à ce stade.
invalid_grantErreur : Si le défi-réponse a été rejeté, l’interrogation devrait être arrêtée à ce stade.

En savoir plus

I