Adaptive MFA - Auth0 Docs

Para usar Adaptive MFA, debes tener un plan Enterprise con el complemento Adaptive MFA. Consulta Auth0 Pricing para obtener más información.

es una política de flexible y extensible que puede ayudarte a proteger tu inquilino de sin aumentar la fricción para los usuarios legítimos. Evalúa el riesgo potencial en cada transacción de inicio de sesión y, después, solicita al usuario una verificación adicional si corresponde.

Cómo funciona

Durante una transacción de inicio de sesión, Adaptive MFA calcula una puntuación de confianza general a partir del análisis de tres evaluaciones de riesgo:

Evaluador	Señal de riesgo	Cómo se calcula
`NewDevice`	El usuario intenta iniciar sesión desde un dispositivo que no se ha usado para acceder a la cuenta en los últimos 30 días.	El agente de usuario y las cookies del navegador identifican un dispositivo. Al iniciar sesión, la información del dispositivo se compara con la lista de dispositivos de la cuenta.
`ImpossibleTravel`	El usuario intenta iniciar sesión desde una geolocalización que indica una situación de viaje imposible en comparación con el último inicio de sesión.	Se calcula la distancia entre la última ubicación válida y la ubicación del intento de inicio de sesión; la diferencia de tiempo entre ambos inicios de sesión se usa para calcular una velocidad de desplazamiento hipotética. Esa velocidad se compara con una velocidad de desplazamiento razonable.
`UntrustedIP`	El usuario intenta iniciar sesión desde una dirección IP que se sabe que está asociada a comportamientos sospechosos.	Auth0 usa inteligencia obtenida de eventos de tráfico para determinar la probabilidad de que la dirección IP haya sido utilizada por actores maliciosos para perpetrar ataques de alta velocidad.
Puntuación de riesgo general	Una combinación de los 3 factores anteriores.	Auth0 usa las 3 puntuaciones para asignar una puntuación general. Use Actions si desea implementar su propia lógica de negocio.

Cuando Adaptive MFA determina que la puntuación de confianza general es baja (es decir, que la transacción de inicio de sesión es de alto riesgo), exige que el usuario verifique su identidad con MFA. Si el usuario no está inscrito en MFA, debe completar una verificación adicional antes de poder hacerlo. Adaptive MFA incluye un flujo de seguridad completo que garantiza la autenticidad de los usuarios:

Diagrama del flujo de autenticación multifactor adaptativa de Auth0 Login

Adaptive MFA ignora cualquier sesión de MFA existente (por ejemplo, si un usuario seleccionó Recordar este navegador durante un flujo de MFA anterior) y no permite a los usuarios omitir los desafíos de MFA.

Personalizar Adaptive MFA

Puede usar Actions para personalizar el flujo de MFA y ofrecer la mejor experiencia a sus usuarios. Para obtener más información sobre las evaluaciones de riesgo, los puntajes de confianza y las opciones de personalización, consulte Personalizar Adaptive MFA.

Soporte y limitaciones

Flujos de autorización

Adaptive MFA es compatible con todos los flujos de autenticación y que se inician con el usuario final. Para obtener más información sobre los distintos flujos y protocolos, consulte Flujos de autenticación y autorización y Protocolos.

Protocolo	Flujo	Compatible
OIDC/OAuth2	Flujo de código de autorización	Compatible
OIDC/OAuth2	Flujo de código de autorización con PKCE	Compatible
OIDC/OAuth2	Flujo implícito con envío de formulario	Compatible
OIDC/OAuth2	Flujo híbrido	Compatible
OIDC/OAuth2	Credenciales de cliente	No compatible
OIDC/OAuth2	Autorización de dispositivo	No compatible
OIDC/OAuth2	Contraseña del propietario del recurso (ROP)	No compatible
OIDC/OAuth2	Intercambio de tokens personalizado	No compatible
SAML	Iniciado por el proveedor de servicios (iniciado por SP)	Compatible
SAML	Iniciado por el Proveedor de identidad (iniciado por IdP)	No compatible*
WS-Federation	N/D	Compatible
AD/LDAP	N/D	Compatible

*Adaptive MFA no es compatible con los flujos de iniciados por , pero puede simular el flujo con aplicaciones OIDC. Para obtener más información, consulte Configurar el inicio de sesión SAML iniciado por IdP en aplicaciones OIDC. Adaptive MFA es totalmente compatible con los tipos de conexiones sociales en los que hay una dirección de correo electrónico disponible para cada usuario. Adaptive MFA requiere una dirección de correo electrónico para completar el paso de desafío por correo electrónico que se produce cuando un usuario no está inscrito en MFA. Si no hay una dirección de correo electrónico disponible, Adaptive MFA no puede realizar el desafío por correo electrónico y la transacción se bloqueará. Este escenario no introduce ningún riesgo de seguridad, pero sí limita la funcionalidad. Si ha configurado una conexión social y espera que haya una dirección de correo electrónico disponible, pero no la hay, verifique la configuración y confirme que se están solicitando los alcances, claims y permisos correctos. Para obtener más información sobre las conexiones sociales compatibles y cómo instalarlas, lea Social Connections on Auth0 Marketplace.

Características de Auth0

La siguiente tabla enumera las implementaciones de Auth0 y su funcionalidad con Adaptive MFA:

Implementación del flujo de inicio de sesión	Nivel de compatibilidad con Adaptive MFA
Universal Login	Compatible
Classic Login sin personalización	Compatible
Classic Login (alojado en Auth0), página de inicio de sesión personalizada con la plantilla Lock de `lock.js`	Compatible
Classic Login (alojado en Auth0), página de inicio de sesión personalizada con la plantilla Custom Login Form de `auth0.js`	Compatible
Classic Login (alojado en Auth0), página de inicio de sesión personalizada con flujo sin contraseña por correo electrónico y la plantilla Passwordless de `lock.js`	Compatible
Classic Login (alojado en Auth0), página de inicio de sesión personalizada con flujo sin contraseña por SMS y la plantilla Passwordless de `lock.js`	No compatible, porque no proporciona una dirección de correo electrónico, que es un requisito.
Aplicaciones web o nativas que usan el flujo Resource Owner Password Grant (ROPG) (incluidas las que usan versiones anteriores de los SDK `lock.android` y `lock.swift`	Compatible, con las siguientes limitaciones: • Funciona cuando todos los usuarios finales ya están inscritos en MFA (cuando se requiere que los usuarios se inscriban al registrarse). Los usuarios que aún no estén inscritos se bloquearán en situaciones de riesgo. • La evaluación de riesgos para determinar si un usuario inicia sesión desde un dispositivo nuevo no funcionará. El flujo ROPG no admite las cookies del navegador necesarias para determinar el riesgo. • Debe pasar el encabezado `auth0-forwarded-for` con información de la dirección IP de origen para que funcionen las evaluaciones de riesgos de reputación de IP.
Aplicaciones nativas que usan la versión más reciente de los SDK compatibles con Universal Login integrado	Compatible
Aplicaciones nativas que usan la versión más reciente de los SDK y el flujo ROPG	Compatible, con las siguientes limitaciones: • Funciona cuando todos los usuarios finales ya están inscritos en MFA (cuando se requiere que los usuarios se inscriban al registrarse). Los usuarios que aún no estén inscritos se bloquearán en situaciones de riesgo. • La evaluación de riesgos para determinar si un usuario inicia sesión desde un dispositivo nuevo no funcionará. El flujo ROPG no admite las cookies del navegador necesarias para determinar el riesgo. • Debe pasar el encabezado `auth0-forwarded-for` con información de la dirección IP de origen para que funcionen las evaluaciones de riesgos de reputación de IP.
Flujos alojados por usted (no por Auth0) que usan `lock.js` o `auth0.js` y realizan autenticación entre orígenes (endpoint co/authenticate)	Compatible

​Cómo funciona

​Personalizar Adaptive MFA

​Soporte y limitaciones

​Flujos de autorización

​Conexiones sociales

​Características de Auth0

​Más información

Cómo funciona

Personalizar Adaptive MFA

Soporte y limitaciones

Flujos de autorización

Conexiones sociales

Características de Auth0

Más información