Passer au contenu principal
Auth0 Guardian est une application mobile pour les appareils iOS et Android qui permet aux utilisateurs d’effectuer l’authentification multifacteur (MFA) au moyen de notifications push ou de mots de passe temporaires à usage unique. Auth0 Guardian peut envoyer des notifications push aux appareils inscrits des utilisateurs (généralement des téléphones mobiles ou des tablettes) ou générer des mots de passe à usage unique directement dans l’application. Les utilisateurs peuvent ensuite répondre rapidement à ces notifications push ou récupérer un mot de passe à usage unique pour terminer leur connexion. Les utilisateurs peuvent télécharger l’application Auth0 Guardian dans l’App Store d’Apple ou sur le Google Play Store. Vous pouvez aussi intégrer les fonctionnalités d’Auth0 Guardian à votre propre application personnalisée à l’aide du SDK Guardian.

Notifications push

Pour utiliser les notifications push, les utilisateurs doivent avoir installé sur leur appareil soit l’application Auth0 Guardian, soit une application personnalisée créée avec le SDK Guardian. Lorsqu’un utilisateur tente de s’authentifier, des notifications push sont envoyées à l’application installée. L’utilisateur doit répondre à la notification pour finaliser sa connexion, ce qui prouve à la fois qu’il connaît ses identifiants de connexion et qu’il possède l’appareil configuré pour la . Les notifications push d’Auth0 peuvent être mises en œuvre à l’aide d’AWS Simple Notification Service (SNS) ou d’un ou de plusieurs des services directs aux fournisseurs suivants pour configurer des intégrations propres à chaque fournisseur :
  • Firebase Cloud Messaging (FCM)
    • Pour en savoir plus sur la modification du contenu des notifications push, consultez la documentation de FCM.
  • Apple Push Notification (APN)
Diagramme du flux Auth0 Guardian

S’inscrire aux notifications push

Lorsque vous utilisez Auth0 Guardian pour configurer les notifications push, les utilisateurs sont invités à télécharger l’application mobile lorsqu’ils s’inscrivent ou se connectent à votre application pour la première fois. Si vous utilisez le Guardian SDK pour mettre en œuvre les notifications push dans une application personnalisée, les utilisateurs ne sont invités à télécharger aucune application pendant l’inscription. Vous pouvez activer les notifications push à partir du sous Security > Multi-factor Auth > Push Notification using Auth0 Guardian.
Auth0 Dashboard > Security > Multi-factor Auth > Push Notification using Auth0 Guardian
Lorsqu’un utilisateur s’inscrit ou se connecte à votre application pour la première fois, Universal Login affiche un code QR qu’il peut utiliser pour enregistrer l’application Auth0 Guardian ou une application personnalisée basée sur le Guardian SDK comme facteur d’authentification secondaire. L’utilisateur dispose de peu de temps pour scanner ce code avec l’application désignée afin de terminer son inscription. Une fois l’utilisateur inscrit, il peut utiliser les notifications push comme facteur d’authentification. Chaque fois que l’utilisateur tente de se connecter à votre application, il reçoit une notification push sur son appareil par l’entremise de l’application Auth0 Guardian ou d’une application personnalisée basée sur le Guardian SDK. L’utilisateur doit approuver cette demande pour se connecter à votre application. Pour savoir comment réinitialiser la MFA pour les utilisateurs qui ont perdu leur appareil ou leurs codes de récupération, consultez Réinitialiser l’authentification multifacteur et les codes de récupération. Pour obtenir de l’aide supplémentaire, consultez Résoudre les problèmes d’authentification multifacteur.

Codes à usage unique temporaires

L’application Auth0 Guardian et le SDK Guardian prennent également en charge l’utilisation de codes à usage unique temporaires (OTP) comme facteurs d’authentification secondaires. L’application comme le SDK peuvent générer des OTP temporaires que les utilisateurs peuvent utiliser pour répondre aux défis MFA. Par défaut, l’application Auth0 Guardian répertorie les applications auxquelles l’utilisateur est inscrit. Après avoir sélectionné une application, l’OTP correspondant s’affiche. Chaque OTP à 6 chiffres demeure valide pendant 30 secondes. Les OTP sur le point d’expirer s’affichent en rouge. Lorsqu’un OTP expire, l’application en génère immédiatement un nouveau. Pour éviter les échecs d’authentification, les utilisateurs ne doivent pas utiliser d’OTP affiché en rouge. Dans les applications Guardian SDK personnalisées, l’apparence des OTP peut varier.

Utiliser des codes à usage unique temporaires

Vous pouvez utiliser les OTP de deux façons principales :
  • Comme option de secours aux notifications push si l’application Auth0 Guardian ou une autre application personnalisée ne reçoit pas de demande push.
  • Comme défi MFA, si vous activez le facteur One-Time Password dans votre locataire.
Si un utilisateur ne reçoit pas de notification push dans Auth0 Guardian ou une autre application personnalisée, il peut plutôt utiliser un OTP temporaire pour compléter son défi MFA.Exemple de parcours utilisateur :
  1. Un utilisateur tente d’ouvrir une session dans votre application. Il atteint l’invite MFA de Universal Login, mais ne reçoit pas de notification push.
  2. Dans l’invite MFA, l’utilisateur sélectionne le bouton Entrer le code manuellement. Il doit sélectionner cette option pour s’authentifier à l’aide d’un OTP.
    Exemple d’invite MFA affichant le bouton Entrer le code manuellement
  3. L’utilisateur ouvre l’application Auth0 Guardian ou une application personnalisée basée sur le Guardian SDK et sélectionne l’application à laquelle il tente d’accéder.
  4. L’utilisateur copie l’OTP affiché au bas de la page Détails du compte.
  5. L’utilisateur saisit l’OTP dans l’invite MFA pour compléter le défi.
Pour permettre aux utilisateurs de s’authentifier avec des OTP, vous devez activer One-Time Password comme facteur MFA pour votre locataire. Une fois activé, les utilisateurs peuvent compléter les invites MFA à l’aide d’OTP lorsqu’ils ouvrent une session dans Universal Login. Pour activer les facteurs MFA, accédez à Auth0 Dashboard > Security > Multi-factor Auth.Les utilisateurs peuvent inscrire l’OTP comme facteur MFA lors de leur première inscription ou ouverture de session dans votre application. Selon le type d’appareil utilisé, Universal Login affiche l’un des éléments suivants :
  • Pour les appareils non mobiles : Universal Login affiche un code QR que l’utilisateur peut numériser pour poursuivre l’inscription.
Exemple d’invite d’inscription OTP affichant le lien Trouble Scanning?
  • Pour les appareils mobiles : Universal Login saute l’étape du code QR et affiche directement le code d’inscription.
Écran d’inscription au code à usage unique temporaire tel qu’affiché sur un appareil mobile.
Dans les deux cas, les utilisateurs peuvent suivre les étapes à l’écran pour enregistrer l’application Auth0 Guardian ou une application personnalisée basée sur le Guardian SDK comme facteur d’authentification secondaire. En règle générale, ce processus consiste à demander à l’utilisateur d’ajouter votre application à l’application appropriée, puis à récupérer l’OTP généré pour cette application. L’utilisateur saisit ensuite l’OTP dans l’invite Universal Login pour terminer le processus d’inscription.La prochaine fois que l’utilisateur tente d’ouvrir une session dans votre application après avoir terminé l’inscription, il peut s’authentifier en saisissant un OTP provenant de son application Auth0 Guardian ou de son application personnalisée basée sur le Guardian SDK dans le défi.

Paramètres de l’application Auth0 Guardian

Paramètres de sécurité de l’utilisateur

Dans l’application Auth0 Guardian, les utilisateurs peuvent activer un code d’accès et la biométrie comme mesures de sécurité supplémentaires sur iOS et Android. Si un utilisateur active une ou plusieurs de ces options, il doit d’abord réussir ces vérifications avant de pouvoir répondre aux notifications push ou récupérer des OTP. Pour activer ces options sur un appareil iOS ou Android, les utilisateurs peuvent suivre les étapes ci-dessous.
Pour activer les paramètres de sécurité de l’application Auth0 Guardian sur iOS :
  1. Dans l’application, sélectionnez l’icône d’engrenage pour ouvrir le menu des paramètres.
  2. Sélectionnez Passcode pour activer la protection par code d’accès.
  3. Définissez et confirmez un code d’accès à 6 chiffres.
L’application est maintenant protégée par le code d’accès. L’utilisateur doit saisir ce code d’accès avant de pouvoir répondre aux notifications push ou récupérer des OTP.Après avoir activé la protection par code d’accès, l’utilisateur peut configurer la biométrie de l’appareil comme autre mesure de sécurité. Pour activer la biométrie de l’appareil :
  1. Dans l’application, sélectionnez l’icône d’engrenage pour ouvrir le menu des paramètres.
  2. Activez la biométrie de l’appareil en sélectionnant l’une des options offertes, comme Face ID ou Touch ID.

Options de localisation

L’application Auth0 Guardian prend en charge la localisation dans plusieurs langues et dialectes sur iOS et Android. Dans la section Langue du menu Paramètres, les utilisateurs peuvent sélectionner leur langue préférée. Par défaut, l’application utilise la même langue que le système de l’appareil.
La majorité du contenu des notifications push s’affiche aux utilisateurs dans leur langue préférée. Toutefois, les titres des notifications push ne sont pas traduits, car les paramètres de langue ne sont récupérés qu’après qu’un titre a été renseigné.
L’application Auth0 Guardian prend en charge les langues et dialectes suivants :
LangueCode
Albanaissq
Amhariqueam
Arabe*ar
Arabe (Égypte)*ar-EG
Arabe (Arabie saoudite)*ar-SA
Arménienhy
Azerbaïdjanaisaz
Basqueeu-ES
Bengalibn
Bosniaquebs
Bulgarebg
Catalanca-ES
Chinois - Hong Kongzh-HK
Chinois - simplifiézh-CN
Chinois - traditionnelzh-TW
Croatehr
Tchèquecs
Danoisda
Néerlandaisnl
Anglaisen
Anglais - Canadaen-CA
Estonienet
Farsi (persan)*fa
Finnoisfi
Françaisfr-FR
Français - Canadafr-CA
Galiciengl-ES
Géorgienka
Allemandde
Grecel
Gujaratigu
Hébreu*he
Hindihi
Hongroishu
Islandaisis
Indonésienid
Italienit
Japonaisja
Kannadakn
Coréenko
Lettonlv
Lituanienlt
Macédonienmk
Malaisms
Malayalamml
Marathimr
Mongolmn
Monténégrincnr
Myanmarmy
Norvégienno
Norvégien - bokmålnb
Norvégien - nynorsknn
Polonaispl
Portugais - Brésilpt-BR
Portugais - Portugalpt-PT
Pendjabipa
Roumainro
Russeru
Serbesr
Slovaquesk
Slovènesl
Somaliso
Espagnoles
Espagnol - Argentinees-AR
Espagnol - Amérique latinees-419
Espagnol - Mexiquees-MX
Swahilisw
Suédoissv
Tagalogtl
Tamazightzgh
Tamoulta
Télougoute
Thaïth
Turctr
Ukrainienuk
Ourdou*ur
Vietnamienvi
Galloiscy

Thèmes de l’application Guardian

L’application Auth0 Guardian pour iOS et Android prend en charge les thèmes clair et sombre. Dans la section Theme du menu Settings, les utilisateurs peuvent sélectionner les options suivantes :
  • System : Utilise le thème système par défaut
  • Light : Active le thème clair
  • Dark : Active le thème sombre

Options de personnalisation des applications protégées

Pour aider les utilisateurs à distinguer plus facilement leurs applications protégées dans l’application Auth0 Guardian, chaque application peut être personnalisée avec un nom distinct, une couleur d’accent et une icône.
Le nom par défaut attribué à votre application dans l’application Auth0 Guardian est déterminé par le nom de votre locataire ou par le nom convivial défini dans les paramètres de votre locataire. De même, le logo par défaut provient de l’URL du logo fournie dans les paramètres de votre locataire.Pour modifier les paramètres de votre locataire, accédez à Auth0 Dashboard > Settings > General.
Pour personnaliser une application protégée :
  1. Sélectionnez une application dans la liste.
    • Conseil : Vous pouvez aussi balayer l’application vers la gauche pour afficher les options Modifier et Supprimer.
  2. Sur la page Détails du compte, choisissez Modifier.
  3. Mettez à jour le nom, la couleur et l’icône de l’application au besoin.
  4. Sélectionnez Enregistrer.

SDKs Guardian

Vous pouvez installer le SDK Guardian (offert pour iOS et Android) afin de créer votre propre application d’authentification multifacteur avec un contrôle complet sur l’image de marque et l’apparence. Avec le SDK Guardian, vous pouvez créer vos propres applications mobiles personnalisées qui fonctionnent comme Guardian ou intégrer certaines fonctionnalités de Guardian, comme la réception de notifications push dans vos applications mobiles existantes. Un cas d’utilisation typique serait une application bancaire. Vous pouvez utiliser le SDK Guardian dans votre application mobile existante pour recevoir et confirmer des notifications push lorsqu’un utilisateur effectue une transaction à un guichet automatique bancaire.

Utilisez Actions pour activer l’authentification multifacteur avec Auth0 Guardian

Pour activer Auth0 Guardian dans une Action, transmettez guardian comme valeur du paramètre provider lorsque vous activez l’authentification multifacteur : 
exports.onExecutePostLogin = async (event, api) => {
  api.multifactor.enable('guardian', { allowRememberBrowser: false });
};
Pour obliger vos utilisateurs à se connecter avec Auth0 Guardian à chaque fois, créez l’Action avec allowRememberBrowser: false.

Authentification multifacteur avec Auth0 Guardian et Authorization Extension

Ce modèle fournit un exemple et un point de départ pour déclencher l’authentification multifacteur avec Auth0 Guardian au moyen de notifications push lorsqu’une condition est remplie. Lors de la première connexion, l’utilisateur peut inscrire son appareil. Consultez Activer l’authentification multifacteur pour en savoir plus sur M 
exports.onExecutePostLogin = async (event, api) => {
const groups = event.user.app_metadata.authorization.groups;
const GROUPS_WITH_MFA = {
// Ajoutez ici les groupes qui nécessitent la MFA
// Exemple
admins: true
};

const needsMFA = !!groups.find(function (group) {
return GROUPS_WITH_MFA[group];
});

if (needsMFA) {
// facultatif, true par défaut. Définir à false pour forcer l'authentification Guardian à chaque fois.
// Voir https://auth0.com/docs/secure/multi-factor-authentication/customize-mfa#change-frequency-of-mfa-prompts pour plus de détails
api.multifactor.enable('guardian', { allowRememberBrowser: false });
}

};

En savoir plus