Passer au contenu principal

Avant de commencer

Cisco Duo est un fournisseur d’authentification multiforme et ne peut être utilisé sur votre locataire Auth0 que si tous les autres facteurs sont désactivés. Selon votre configuration, votre compte Duo peut prendre en charge divers moyens de vérification tels que les notifications poussées, les SMS, les OTP, rappels téléphoniques, et bien d’autres encore. Vous ne pouvez pas non plus activer Duo si d’autres facteurs sont activés. Duo n’est disponible pour les utilisateurs que lorsqu’il est le seul facteur activé. L’application demandera à l’utilisateur le deuxième facteur avec Duo, répertoriant les options que vous avez activées dans votre compte Duo. Vos utilisateurs peuvent télécharger Duo depuis Google Play ou l’App Store à utiliser comme deuxième facteur.

Configurer Duo

Pour configurer Duo Security, vous devez transmettre vos informations d’identification Duo à votre application dans l’.
  1. Accédez à Dashboard > Sécurité > Authentification multi-facteurs > Duo Security et activez-le.
  2. Saisissez les informations dans les champs pour lier votre compte Duo à Auth0.
  3. Sélectionnez Enregistrer.

Utiliser les Actions pour activer Duo

Pour activer Duo dans une Action, passez duo comme le paramètre provider lorsque vous activez l’authentification multifacteur (). 
exports.onExecutePostLogin = async (event, api) => {
  api.multifactor.enable('duo', { allowRememberBrowser: false });
};
Duo ne propose pas d’option pour le comportement « Souvenez-vous de moi ». La session MFA de 30 jours est préconfigurée pour mémoriser l’utilisateur après la connexion initiale. Pour exiger que vos utilisateurs se connectent systématiquement avec Duo, créez une règle en définissant le paramètre allowRememberBrowser: false.

Modèle d’Actions pour Duo

Ce modèle offre un exemple et un point de départ pour activer l’authentification multifacteur (MFA) avec Duo Security lorsque certaines conditions sont remplies. Lors de la première connexion, l’utilisateur peut inscrire l’appareil.
Vous devez créer deux intégrations dans Duo Security : une de type Trousse SDK Web et une de type Trousse SDK Admin.
exports.onExecutePostLogin = async (event, api) => {

	const CLIENTS_WITH_MFA = ['{yourClientId}'];
	// run only for the specified clients
	if (CLIENTS_WITH_MFA.includes(event.client.client_id)) {

		// uncomment the following if clause in case you want to request a second factor only from user's that have user_metadata.use_mfa === true
		//if (event.user.user_metadata && event.user.user_metadata.use_mfa){

		// optional, defaults to true. Set to false to force DuoSecurity every time.
		// See https://auth0.com/docs/multifactor-authentication/custom#change-the-frequency-of-authentication-requests for details
		api.multifactor.enable('duo', {
			providerOptions.ikey: configuration.DUO_IKEY,
			providerOptions.skey: configuration.DUO_SKEY,
			providerOptions.host: configuration.DUO_HOST,
			allowRememberBrowser: false
		})

		// optional. Use some attribute of the profile as the username in DuoSecurity. This is also useful if you already have your users enrolled in Duo.
		// username: event.user.nickname
	};
	// }

};

Limitations actuelles

  • Vous ne pouvez pas utiliser un billet d’inscription MFA Auth0 pour inscrire des utilisateurs avec Duo. Embarquez ces utilisateurs depuis Duo lui-même.
  • Si vous utilisez la connexion universelle, vous devez activer Duo dans une action en définissant provider sur Duo, comme décrit précédemment. Vous pouvez utiliser Duo ou le fournisseur Auth0 intégré de manière conditionnelle pour des applications spécifiques.

En savoir plus

I