Passer au contenu principal
Ces personnalisations ne s’appliquent pas à Duo, qui possède sa propre interface utilisateur.
Vous pouvez personnaliser les pages  qui s’affichent à vos utilisateurs en ajustant les options d’image de marque de la connexion universelle dans la section Paramètres de connexion universelle d’Auth0 Dashboard. Si vous vous servez de l’expérience de connexion universelle, vous pouvez personnaliser la page à l’aide de ses options de personnalisation du flux. Vous pouvez également personnaliser le contenu HTML complet pour refléter les exigences spécifiques en matière d’expérience utilisateur de votre organization. Pour en savoir plus, consultez Options de thème du gadget logiciel MFA. Avec l’expérience de connexion universelle, la MFA est présentée de manière encore plus simple à l’utilisateur. Une fois que l’utilisateur a saisi ses informations d’identification pour se connecter, il est dirigé vers l’écran de l’authentification multifacteur (MFA). Si l’utilisateur n’a pas encore enregistré de facteur MFA, il sera invité à s’enregistrer. Sinon, il sera invité à fournir son identifiant MFA.

Utilisez l’API MFA

Auth0 fournit une API MFA pour les scénarios suivants : Avant que vous ne puissiez utiliser les API MFA, vous devrez activer le type d’autorisation MFA pour votre application. Pour activer l’autorisation MFA dans Auth0 Dashboard :
  1. Rendez-vous dans Tableau de bord > Applications > Applications et sélectionnez votre application.
  2. Au bas de l’onglet Settings (Paramètres) , cliquez sur Advanced Settings (Paramètres avancés).
  3. Cliquez sur l’onglet Grant Types (Types d’autorisation) et sélectionnez MFA.
    Dashboard Applications Applications Advanced Settings Grant Types tab
    Pour en savoir plus, consultez Activer l’authentification multifacteur (MFA).
  4. Cliquez sur Enregistrer les modifications.

Limites

L’API MFA est conçue pour fonctionner avec les SMS, les notifications poussées dans l’application Guardian, les courriels et les facteurs OTP. L’enregistrement avec Duo n’est pas prise en charge.

Personnalisez la politique MFA avec des Actions

Vous pouvez utiliser des actions pour personnaliser la politique MFA de votre locataire, y compris en exigeant l’authentification multifacteur (MFA) pour les utilisateurs de certaines applications, les utilisateurs avec des métadonnées utilisateur particulières ou des plages d’adresses IP, et plus encore. Si vous n’êtes pas familier avec la création d’actions, consultez Créer votre première action.
Tous les comportements liés à la MFA définis dans les Actions sont prioritaires sur les paramètres de la politique Définir configurés dans la section Authentification multifacteur du Dashboard.Pour en savoir plus, consultez Activer l’authentification multifacteur (MFA).
Lors de la création d’actions, vous pouvez utiliser le paramètre provider pour préciser si vous souhaitez imposer la MFA et quel facteur vous utilisez. Le comportement diffère selon que vous utilisez l’expérience de connexion classique ou l’expérience de connexion universelle :
FournisseurExpérience de connexion classiqueExpérience de connexion universelle
tousNotification poussée, SMS, ou OTPNotification poussée, SMS, vocal, OTP, courriel, ou clé de sécurité WebAuthN (lorsqu’elle est activée)
guardianNotification poussée, SMS, ou OTPNotification poussée, SMS, OTP, ou courriel
google-authenticatorGoogle AuthenticatorNotification poussée, SMS, OTP, ou courriel
duoDuoDuo
Si vous utilisez la connexion universelle, vous pouvez obtenir le comportement de l’expérience de connexion classique en activant la personnalisation de la page de connexion MFA.
Les options guardian et google-authenticator sont des paramètres anciens qui sont conservés pour des raisons de rétro-compatibilité; il n’est pas conseillé de continuer à les utiliser. Nous recommandons d’utiliser any à la place. L’option google-authenticator n’autorise pas les utilisateurs à s’inscrire à un code de récupération.
Définir le provider (fournisseur) sur une option particulière remplace manuellement les options activés/désactivés dans le tableau de bord. Vous pouvez utiliser l’action suivante pour inciter l’utilisateur à s’enregistrer dans Duo même si d’autres facteurs sont activés dans le tableau de bord : 
exports.onExecutePostLogin = async (event, api) => {
    // Forcing the provider to Duo programmatically
    api.multifactor.enable('duo')
}

Exemples courants d’utilisation

Voici quelques scénarios courants d’authentification multifacteur (MFA) contextuelle qui peuvent être gérés par des actions.
Pour vous assurer que votre locataire ne déclenche la MFA que lorsque vous l’exigez explicitement dans vos Actions, définissez la politique MFA par défaut de votre locataire sur Jamais.Pour en savoir plus, lisez la section « Politique » dans Facteurs d’authentification multifacteur (MFA).

Exiger une authentification multifacteur (MFA) pour des applications spécifiques

Vous pouvez personnaliser l’authentification multifacteur (MFA) pour qu’elle ne se déclenche que lorsque les utilisateurs se connectent à certaines applications. 
exports.onExecutePostLogin = async (event, api) => {
	const CLIENTS_WITH_MFA = [
		'{yourClientId1}', 
		'{yourClientId2}',
		'{yourClientId3}'
	];

	if (CLIENTS_WITH_MFA.includes(event.client.client_id)) {
		api.multifactor.enable('duo', { allowRememberBrowser: false })
	}
}

Exiger une authentification multifacteur (MFA) pour des utilisateurs spécifiques

Vous pouvez personnaliser l’authentification multifacteur (MFA) pour qu’elle ne se déclenche que pour les utilisateurs désignés pour utiliser la MFA. 
exports.onExecutePostLogin = async (event, api) => {
  if (event.user.user_metadata && event.user.user_metadata.use_mfa) {
    api.multifactor.enable('duo', { allowRememberBrowser: false });
  }
}

Modifier la fréquence des demandes d’authentification multifacteur (MFA)

Dans certaines situations, vous pourriez ne pas vouloir demander à l’utilisateur d’avoir recours à la MFA chaque fois qu’il se connecte à partir du même navigateur. Vous pouvez modifier ce comportement en utilisant la propriété allowRememberBrowser : 
exports.onExecutePostLogin = async (event, api) => {  
  api.multifactor.enable('any', { allowRememberBrowser: false });
}
En fonction de la valeur de la propriété, le comportement sera le suivant :
ValeurDescription
trueLorsque le fournisseur est défini en tant que google-authenticator ou duo, l’utilisateur est invité à s’inscrire à la MFA une fois tous les 30 jours. Lorsque le fournisseur est défini en tant que guardian, l’invite MFA affiche la case à cocher pour l’inscription pour que les utilisateurs choisissent de s’inscrire ou non. La valeur par défaut est false. Pour en savoir plus, lisez Personnaliser les pages de l’authentification multifacteur (MFA)
falseL’utilisateur est invité à s’inscrire au programme MFA à chaque fois qu’il s’authentifie.
Les valeurs temporelles sont destinées aux utilisateurs actifs. Si un utilisateur est inactif pendant une période de sept jours ou plus, son témoin expirera et il sera invité à effectuer une MFA lors de sa prochaine tentative de connexion (peu importe si allowRememberBrowser est défini sur true et qu’il ne s’est pas écoulé 30 jours depuis sa dernière invite MFA). Lorsque vous permettez à l’utilisateur d’ignorer la MFA, un témoin est stocké dans le navigateur de l’utilisateur. Si le témoin est défini pour l’utilisateur mais que vous souhaitez toujours exiger la MFA, vous disposez de deux options :
  • Définissez allowRememberBrowser sur false
  • Définissez acr_values sur http://schemas.openid.net/pape/policies/2007/06/multi-factor lors de l’appel du point de terminaison /authorize .
Dans les cas où un utilisateur perd un appareil de confiance, vous pouvez demander à cet utilisateur de fournir une MFA lors de sa prochaine connexion en appelant le point de terminaison Invalider la mémorisation du navigateur d’Auth0 Management API.

Exiger une authentification multifacteur (MFA) pour les utilisateurs en dehors du réseau

En supposant que l’accès au réseau spécifié des adresses IP internes soit bien contrôlé, vous pouvez également demander à Auth0 d’exiger la MFA uniquement pour les utilisateurs dont les requêtes proviennent de l’extérieur du réseau d’entreprise : 
exports.onExecutePostLogin = async (event, api) => {
  const ipaddr = require('ipaddr.js@1.9.0');
  const corp_network = '192.168.1.134/26';
  const current_ip = ipaddr.parse(event.request.ip);

  if (!current_ip.match(ipaddr.parseCIDR(corp_network))) {
    api.multifactor.enable('any', {allowRememberBrowser: false});
  }
}

Contourner l’authentification multifacteur (MFA) pour les demandes de jetons d’actualisation

Si vos utilisateurs signalent des déconnexions fréquentes, il est possible que vous ayez besoin de contourner les demandes de jetons d’actualisation lors de l’utilisation de la MFA. Vous pouvez modifier le comportement par défaut à l’aide d’un filtre Action sur la propriété d’objet event.transaction.protocol. 
exports.onExecutePostLogin = async (event, api) => {
  if (event.transaction.protocol !== 'oauth2-refresh-token') {
    // MFA-related commands here
    api.multifactor.enable('any');
  }
};
Pour en savoir plus sur l’objet event de l’action, consultez Déclencheurs d’Actions : post-connexion – Objet d’événement.

En savoir plus

I