Passer au contenu principal
Pour utiliser la MFA adaptative, vous devez disposer d’un forfait Enterprise avec le module complémentaire Adaptive MFA. Consultez Auth0 Pricing pour en savoir plus.
est une stratégie de flexible et extensible qui peut vous aider à protéger votre locataire contre les sans accroître les frictions pour les utilisateurs légitimes. Elle évalue le risque potentiel lors de chaque transaction de connexion, puis demande à l’utilisateur une vérification supplémentaire, au besoin.

Fonctionnement

Pendant une transaction de connexion, la MFA adaptative calcule un score de confiance global à partir de l’analyse de trois évaluations des risques :
ÉvaluateurSignal de risqueMéthode de calcul
NewDeviceL’utilisateur tente de se connecter à partir d’un appareil qui n’a pas été utilisé pour accéder au compte au cours des 30 derniers jours.L’agent utilisateur et les témoins du navigateur servent à identifier un appareil. Au moment de la connexion, les données de l’appareil sont comparées à la liste des appareils associés au compte.
ImpossibleTravelL’utilisateur tente de se connecter à partir d’un emplacement géographique qui indique une situation de déplacement impossible par rapport à la dernière connexion.La distance entre le dernier emplacement valide et l’emplacement de la tentative de connexion est calculée; l’écart entre la dernière connexion et la tentative de connexion est utilisé pour calculer une vitesse de déplacement hypothétique. Cette vitesse est ensuite comparée à une vitesse de déplacement raisonnable.
UntrustedIPL’utilisateur tente de se connecter à partir d’une adresse IP reconnue comme étant associée à un comportement suspect.Auth0 utilise l’intelligence tirée des événements de trafic pour déterminer la probabilité que l’adresse IP ait été utilisée par des acteurs malveillants pour mener des attaques à volume élevé.
Overall Risk ScoreUne combinaison des 3 facteurs ci-dessus.Auth0 utilise les 3 scores pour attribuer un score global. Utilisez Actions si vous souhaitez mettre en œuvre votre propre logique métier.
Lorsque la MFA adaptative détermine que le score de confiance global est faible (c’est-à-dire que la transaction de connexion présente un risque élevé), elle exige que l’utilisateur vérifie son identité à l’aide de MFA. Si l’utilisateur n’est pas inscrit à MFA, il doit effectuer une vérification supplémentaire avant de pouvoir s’y inscrire. La MFA adaptative comprend un flux de sécurité complet qui garantit l’authenticité des utilisateurs :
Schéma du flux d’authentification multifacteur adaptative d’Auth0 Login
La MFA adaptative ignore toutes les sessions MFA existantes (par exemple, si un utilisateur a sélectionné Se souvenir de ce navigateur lors d’un flux MFA précédent) et ne permet pas aux utilisateurs de contourner les défis MFA.

Personnaliser la MFA adaptative

Vous pouvez utiliser Actions pour personnaliser le flux de MFA et offrir la meilleure expérience à vos utilisateurs. Pour en savoir plus sur les évaluations des risques, les scores de confiance et les options de personnalisation, consultez Personnaliser la MFA adaptative.

Prise en charge et limites

Flux d’autorisation

La MFA adaptative est prise en charge par tous les flux d’authentification et de qui sont initiés par l’utilisateur final. Pour en savoir plus sur les différents flux et protocoles, consultez Flux d’authentification et d’autorisation et Protocoles.
ProtocoleFluxPris en charge
OIDC/OAuth2Flux de code d’autorisationPris en charge
OIDC/OAuth2Flux de code d’autorisation avec PKCEPris en charge
OIDC/OAuth2Flux implicite avec Form PostPris en charge
OIDC/OAuth2Flux hybridePris en charge
OIDC/OAuth2Identifiants de l’applicationNon pris en charge
OIDC/OAuth2Autorisation d’appareilNon pris en charge
OIDC/OAuth2Mot de passe du Resource Owner (ROP)Non pris en charge
OIDC/OAuth2Custom Token ExchangeNon pris en charge
SAMLInitié par le fournisseur de services (initié par le SP)Pris en charge
SAMLInitié par le fournisseur d’identité (initié par l’IdP)Non pris en charge*
WS-FederationN/APris en charge
AD/LDAPN/APris en charge
*La MFA adaptative n’est pas prise en charge pour les flux initiés par l’, mais vous pouvez simuler ce flux avec des applications OIDC. Pour en savoir plus, consultez Configurer la connexion SAML initiée par l’IdP vers des applications OIDC.

Connexions sociales

La MFA adaptative est entièrement prise en charge pour les types de connexions sociales où une adresse de courriel est disponible pour chaque utilisateur. La MFA adaptative exige une adresse de courriel pour effectuer l’étape de défi par courriel qui se produit lorsqu’un utilisateur n’est pas inscrit à la MFA. Si aucune adresse de courriel n’est disponible, la MFA adaptative ne peut pas effectuer le défi par courriel et la transaction sera bloquée. Ce scénario n’introduit pas de risque de sécurité, mais il limite les capacités de la fonctionnalité. Si vous avez configuré une connexion sociale et vous vous attendez à ce qu’une adresse de courriel soit disponible, mais que ce n’est pas le cas, vérifiez votre configuration et confirmez que les scopes, les claims et les autorisations appropriés sont demandés. Pour en savoir plus sur les connexions sociales prises en charge et sur la façon de les installer, consultez Connexions sociales sur Auth0 Marketplace.

Fonctionnalités d’Auth0

Le tableau suivant répertorie les implémentations Auth0 et leur niveau de prise en charge avec la MFA adaptative :
Implémentation du flux de connexionNiveau de prise en charge de la MFA adaptative
Universal LoginPris en charge
Classic Login sans personnalisationPris en charge
Classic Login (hébergé par Auth0), page de connexion personnalisée avec le modèle Lock lock.jsPris en charge
Classic Login (hébergé par Auth0), page de connexion personnalisée avec le modèle Custom Login Form auth0.jsPris en charge
Classic Login (hébergé par Auth0), page de connexion personnalisée avec le flux Passwordless par courriel et le modèle Passwordless lock.jsPris en charge
Classic Login (hébergé par Auth0), page de connexion personnalisée avec le flux Passwordless par SMS et le modèle Passwordless lock.jsNon pris en charge, car il ne fournit pas d’adresse de courriel, ce qui est requis.
Applications Web ou natives utilisant le flux Resource Owner Password Grant (ROPG) (y compris celles qui utilisent d’anciennes versions des SDK lock.android et lock.swiftPris en charge, avec les limitations suivantes :
• Fonctionne lorsque tous les utilisateurs finaux sont déjà inscrits à la MFA (lorsque les utilisateurs doivent s’y inscrire au moment de l’inscription). Les utilisateurs qui ne sont pas déjà inscrits seront bloqués dans les situations à risque.
• L’évaluation du risque pour déterminer si un utilisateur se connecte à partir d’un nouvel appareil ne fonctionnera pas. Le flux ROPG ne prend pas en charge les témoins du navigateur nécessaires pour déterminer le risque.
• Vous devez transmettre l’en-tête auth0-forwarded-for avec les renseignements sur l’adresse IP d’origine pour que les évaluations du risque liées à la réputation de l’IP fonctionnent.
Applications natives utilisant la plus récente version des SDK qui prennent en charge Universal Login intégréPris en charge
Applications natives utilisant la plus récente version des SDK et le flux ROPGPris en charge, avec les limitations suivantes :
• Fonctionne lorsque tous les utilisateurs finaux sont déjà inscrits à la MFA (lorsque les utilisateurs doivent s’y inscrire au moment de l’inscription). Les utilisateurs qui ne sont pas déjà inscrits seront bloqués dans les situations à risque.
• L’évaluation du risque pour déterminer si un utilisateur se connecte à partir d’un nouvel appareil ne fonctionnera pas. Le flux ROPG ne prend pas en charge les témoins du navigateur nécessaires pour déterminer le risque.
• Vous devez transmettre l’en-tête auth0-forwarded-for avec les renseignements sur l’adresse IP d’origine pour que les évaluations du risque liées à la réputation de l’IP fonctionnent.
Flux hébergés par vous (et non par Auth0) utilisant lock.js ou auth0.js qui effectuent une authentification inter-origine (point de terminaison co/authenticate)Pris en charge

En savoir plus