Passer au contenu principal
L’authentification multifacteur (MFA) n’est pas compatible avec les transactions Custom Token Exchange dans lesquelles un acteur est défini au moyen de api.authentication.setActor(). Si la MFA est requise (par une stratégie ou une Action Post-Login) et que l’Action Custom Token Exchange définit un acteur, la transaction échoue avec une erreur 400 : MFA is not supported using actor_token with the requested token exchange profile.
Pour ajouter une protection contre le vol de jetons ou d’autres risques de sécurité, vous pouvez ajouter l’authentification multifacteur à une requête Custom Token Exchange à l’aide de l’une des méthodes suivantes : Lorsque vous ajoutez la MFA, le serveur d’autorisation Auth0 rejette l’appel initial à Custom Token Exchange vers le point de terminaison /token avec une erreur mfa_required. Vous pouvez utiliser cette erreur dans l’API MFA d’Auth0 pour demander et vérifier un facteur afin d’obtenir les jetons Auth0 d’accès, d’identité et d’actualisation demandés.
Custom Token Exchange ne prend pas en charge api.authentication.challengeWith() ni api.authentication.enrollWith(). Si vous utilisez ces méthodes dans votre Action Post-Login, la transaction échouera avec une erreur irrécupérable. Assurez-vous de ne pas utiliser ces méthodes lorsque event.transaction.protocol==oauth2-token-exchange, selon la valeur de subject_token_type.
Lorsqu’une transaction Custom Token Exchange est associée à une Organisation, api.multifactor.enable() et les stratégies MFA ne sont pas non plus prises en charge. Pour en savoir plus sur l’utilisation de l’octroi MFA, consultez S’authentifier à l’aide du flux Resource Owner Password avec MFA, car Custom Token Exchange suit le même modèle. Vous pouvez aussi consulter un exemple détaillé dans Cas d’utilisation : effectuer une MFA pendant Custom Token Exchange.