Saltar al contenido principal
MFA no es compatible con las transacciones de Custom Token Exchange en las que se establece un actor mediante api.authentication.setActor(). Si MFA es obligatorio (mediante una política o una Action de Post-Login) y la Action de Custom Token Exchange establece un actor, la transacción falla con un error 400: MFA is not supported using actor_token with the requested token exchange profile.
Para añadir protección contra el robo de tokens u otros riesgos de seguridad, puede añadir autenticación multifactor a una solicitud de Custom Token Exchange mediante uno de los siguientes métodos: Cuando añade MFA, el Servidor de autorización de Auth0 rechaza la llamada inicial de Custom Token Exchange al endpoint /token con un error mfa_required. Puede usar ese error en la API de MFA de Auth0 para solicitar y verificar un factor a fin de obtener los tokens de acceso, de ID y de actualización de Auth0 solicitados.
Custom Token Exchange no admite api.authentication.challengeWith() ni api.authentication.enrollWith(). Si usa esos métodos en su Action de Post-Login, la transacción fallará con un error no recuperable. Asegúrese de no usar esos métodos cuando event.transaction.protocol==oauth2-token-exchange, según el valor de subject_token_type.
Cuando una transacción de Custom Token Exchange está asociada a una organización, api.multifactor.enable() y las políticas de MFA tampoco son compatibles. Para obtener más información sobre cómo usar la concesión de MFA, lea Autentíquese mediante el flujo de contraseña del propietario del recurso con MFA, ya que Custom Token Exchange sigue el mismo modelo. También puede consultar un ejemplo detallado en Caso de uso: realizar MFA durante Custom Token Exchange.