Authentification Passwordless par SMS

Vous pouvez configurer l’authentification pour envoyer un code à usage unique (OTP) à un utilisateur par SMS. Pour en savoir plus, consultez Configurer le courriel ou le SMS pour l’authentification Passwordless. Auth0 prend en charge l’utilisation de Twilio et d’un fournisseur téléphonique personnalisé pour envoyer des OTP. Si vous souhaitez utiliser un fournisseur téléphonique personnalisé avec Auth0 Actions, consultez Configurer un fournisseur téléphonique personnalisé ou Configurer un fournisseur téléphonique personnalisé avec Terraform.

Fonctionnement

Lorsqu’un nouvel utilisateur reçoit un code et le saisit pour la première fois dans votre application, son profil d’utilisateur est créé dans la connexion sms avant qu’il soit authentifié par Auth0. Si le numéro de téléphone auquel l’OTP a été envoyé correspond à un utilisateur existant, Auth0 authentifie cet utilisateur :

Flux SMS d’authentification Passwordless

Schéma du flux Passwordless par SMS avec Universal Login

Configurer le fournisseur téléphonique

Dans l’Auth0 Dashboard, accédez à Image de marque > Fournisseur téléphonique.
Activez le bouton bascule Phone Message Provider.
Sélectionnez votre fournisseur de messagerie téléphonique.
1. Pour utiliser Twilio, suivez Configurer Twilio comme fournisseur de messagerie téléphonique.
2. Pour utiliser un fournisseur téléphonique personnalisé, suivez Configurer un fournisseur téléphonique personnalisé afin d’utiliser les Auth0 Actions.
Sélectionnez votre méthode d’envoi.
Enregistrez vos modifications.

Passerelle SMS héritée

Si le fournisseur téléphonique personnalisé d’Auth0 Actions ne répond pas à votre cas d’utilisation, vous pouvez gérer la passerelle SMS personnalisée dans les connexions SMS Passwordless avec . Pour en savoir plus, consultez Configurer une passerelle SMS personnalisée pour les connexions Passwordless.

Configurer les paramètres SMS de Passwordless

Dans Message, saisissez le texte du SMS.
Le paramètre fictif @@password@@ sera automatiquement remplacé par l’OTP envoyé à l’utilisateur.
Ajustez les paramètres de l’expiration de l’OTP et de la longueur de l’OTP.
- Seul le dernier OTP (ou lien) émis sera accepté. Dès que le plus récent est émis, tous les autres sont invalidés. Une fois utilisé, le plus récent est également invalidé.
- Seulement trois tentatives infructueuses de saisie de l’OTP sont autorisées. Après cela, un nouveau code devra être demandé.
- L’OTP émis sera valide (par défaut) pendant trois minutes avant d’expirer.
- Si vous choisissez d’augmenter le délai d’expiration de votre OTP, vous devriez également augmenter la longueur du code OTP. Sinon, un attaquant dispose de plus de temps pour tenter de deviner un code court.
Déterminez si vous voulez désactiver les inscriptions. Si vous activez ce paramètre, vous pouvez autoriser l’accès Passwordless uniquement pour les utilisateurs existants, mais cela peut exposer votre application au risque d’attaques d’énumération d’utilisateurs. Pour en savoir plus, consultez Passwordless Connections Best Practices.
Sélectionnez Enregistrer.

Prise en charge multilingue

La zone Message prend en charge plusieurs langues. Pour spécifier une langue, appelez le point de terminaison Get Code or Link de l’API d’authentification Auth0 et définissez la valeur de l’en-tête x-request-language. Si cet en-tête n’est pas défini, la langue est déterminée à partir de l’en-tête accept-language, qui est automatiquement défini par le navigateur.

Syntaxe du message

La zone Message accepte la syntaxe Liquid. Vous pouvez utiliser cette syntaxe, combinée aux valeurs des paramètres, pour générer par programmation des éléments du message. Par exemple, vous pouvez utiliser le paramètre request_language pour modifier la langue du message :

{% if request_language contains 'dutch' %}
   Hier is uw verificatie code: {{ password }}
{% endif %}
{% if request_language contains 'fr-FR' %}
   Ceci est votre code: {{ password }}
{% endif %}

Les paramètres suivants sont disponibles lors de la définition du modèle de message :

Paramètre	Description
`password` or `code`	Le mot de passe ou le code à utiliser.
`phone_number`	Le numéro de téléphone de l’utilisateur.
`application.name`	Le nom de l’application avec laquelle l’utilisateur s’inscrit.
`request_language`	La langue demandée pour le contenu du message.

Pour en savoir plus sur l’utilisation de Liquid, consultez Liquid for Designers on GitHub.

Activer les applications

Passez à la vue Applications et activez les applications pour lesquelles vous souhaitez utiliser le SMS Passwordless.

​Fonctionnement

​Connexion intégrée

​Universal Login

​Configurer le fournisseur téléphonique

​Passerelle SMS héritée

​Configurer les paramètres SMS de Passwordless

​Prise en charge multilingue

​Syntaxe du message

​Activer les applications

​En savoir plus

Fonctionnement

Connexion intégrée

Universal Login

Configurer le fournisseur téléphonique

Passerelle SMS héritée

Configurer les paramètres SMS de Passwordless

Prise en charge multilingue

Syntaxe du message

Activer les applications

En savoir plus