メインコンテンツへスキップ

Before you start

Cisco Duoは多角的な認証プロバイダーで、他の要素がすべて無効な場合にのみ、Auth0テナントで使用できます。Duoアカウントはプッシュ通知、SMS、OTP、電話でのコールバックの他、構成によってはそれ以外にも対応することができます。 他の要素が有効になっている場合、Duoは有効化できません。Duoは、それだけが単独で有効になっている場合にのみ使うことができます。 アプリケーションは、ユーザーにDuoを使った第二要素を求める際に、Duoアカウントで有効になっているオプションを表示します。 ユーザーはGoogle PlayApp StoreからDuoをダウンロードして、第二要素として使うことができます。

Duoを構成する

Duo Securityを構成するには、でアプリケーションにDuoの資格情報を渡す必要があります。
  1. [Dashboard]>[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]>[Duo Security]に移動して、有効にします。
  2. フィールドに情報を入力して、DuoアカウントをAuth0とリンクさせます。
  3. [Save(保存)] を選択します。

アクションを使ってDuoを有効にする

アクション内でDuoを有効化するには、多要素認証を有効化する際にduoproviderパラメーターとして渡します。 
exports.onExecutePostLogin = async (event, api) => {
  api.multifactor.enable('duo', { allowRememberBrowser: false });
};
Duoには、「Remember Me(自動ログイン)」の動作オプションはありません。初回のログイン後にユーザーを記憶しておく、30日間のセッションがハードコードされています。 ユーザーが毎回Duoを使ってログインすることを強制するには、allowRememberBrowser: falseを使ってルールを作成します。

Duo用のアクションテンプレート

このテンプレートは例として、条件が満たされた場合にDuo Securityを使った多要素認証をトリガーする始点を提供します。 初めてログインした後、ユーザーはデバイスを登録することができます。
Duo Securityでは、Web SDKAdmin SDK の2種類の統合を作成する必要があります。
codeblockOld.header.login.logInButton codeblockOld.header.login.configureSnippet 
exports.onExecutePostLogin = async (event, api) => {

	const CLIENTS_WITH_MFA = ['{yourClientId}'];
	// run only for the specified clients
	if (CLIENTS_WITH_MFA.includes(event.client.client_id)) {

		// uncomment the following if clause in case you want to request a second factor only from user's that have user_metadata.use_mfa === true
		//if (event.user.user_metadata && event.user.user_metadata.use_mfa){

		// optional, defaults to true. Set to false to force DuoSecurity every time.
		// See https://auth0.com/docs/multifactor-authentication/custom#change-the-frequency-of-authentication-requests for details
		api.multifactor.enable('duo', {
			providerOptions.ikey: configuration.DUO_IKEY,
			providerOptions.skey: configuration.DUO_SKEY,
			providerOptions.host: configuration.DUO_HOST,
			allowRememberBrowser: false
		})

		// optional. Use some attribute of the profile as the username in DuoSecurity. This is also useful if you already have your users enrolled in Duo.
		// username: event.user.nickname
	};
	// }

};

現在の制限

  • Duoを使ってユーザーを登録するのに、Auth0のMFA登録チケットは使用できません。それらのユーザーは、Duoから登録します。
  • ユニバーサルログインを使う場合には、上記のように、アクションでproviderduoに設定してDuoを有効化する必要があります。特定のアプリケーションには、Duoを条件付きで使用するか、内蔵のAuth0プロバイダーを使うことができます。

もっと詳しく

I