Passer au contenu principal
Avec l’authentification renforcée, les applications qui donnent accès à différents types de ressources peuvent exiger que les utilisateurs s’authentifient au moyen d’un mécanisme d’authentification plus robuste pour accéder aux ressources sensibles. Vous pouvez ajouter l’authentification renforcée à votre application grâce à la prise en charge extensible de l’ (MFA) d’Auth0. Votre application peut vérifier que l’utilisateur s’est connecté au moyen de l’authentification multifacteur et, sinon, exiger une authentification renforcée pour accéder à certaines ressources.

Fonctionnement

À titre d’exemple, l’intranet de Fabrikam exige que les utilisateurs s’authentifient avec leur nom d’utilisateur et leur mot de passe pour accéder aux données des clients. Toutefois, une demande d’accès aux données des employés (qui peuvent contenir des renseignements salariaux sensibles) déclenche un mécanisme d’authentification plus fort, comme la MFA.
Diagramme du flux d’authentification renforcée avec MFA

Authentification renforcée pour les API

Lorsque votre est une API, vous pouvez implémenter l’authentification renforcée avec Auth0 à l’aide de scopes, de jetons d’accès et d’Actions. Vous pouvez utiliser une Action pour déclencher le mécanisme d’authentification renforcée (par exemple, demander la MFA) chaque fois que l’utilisateur demande des scopes associés à des ressources sensibles. Dans notre exemple, un utilisateur se connecte à l’application web de Fabrikam. La connexion standard permet à cet utilisateur d’interagir avec l’API et de récupérer la liste de ses comptes. Cela signifie que le que l’application reçoit après l’authentification de l’utilisateur contient un scope comme read:accounts. L’utilisateur souhaite maintenant transférer des fonds d’un compte à un autre, ce qui est considéré comme une transaction de grande valeur. Pour effectuer cette action, l’API exige le scope transfer:funds. Le jeton d’accès actuel de l’utilisateur n’inclut pas ce scope, et l’application le sait (car elle connaît l’ensemble des scopes qu’elle a demandés lors de l’appel d’authentification initial). L’application effectue un autre appel d’authentification, mais cette fois, elle demande le scope transfer:funds. Le navigateur est redirigé vers Auth0. Conformément à l’Action de Fabrikam, Auth0 demande à l’utilisateur de s’authentifier avec la MFA parce qu’un scope de grande valeur a été demandé. Une fois que l’utilisateur s’est authentifié avec succès à l’aide de la MFA, Auth0 génère et envoie un nouveau jeton d’accès qui inclut ce scope de grande valeur. L’application transmet le jeton d’accès à l’API, qui l’écarte après vérification, le traitant ainsi comme un jeton à usage unique. Pour en savoir plus, consultez Configurer l’authentification renforcée pour les API.

Authentification renforcée pour les applications web

S’il s’agit d’une application web qui vérifie le niveau d’authentification, et non d’une API, vous n’avez pas de jeton d’accès. Dans ce cas, vous pouvez vérifier si un utilisateur s’est connecté avec MFA en examinant le contenu de son . Vous pouvez ensuite configurer votre application pour refuser l’accès aux pages contenant des renseignements sensibles si le jeton d’identité indique que l’utilisateur ne s’est pas connecté avec MFA, et utiliser une Action pour déclencher le mécanisme d’authentification renforcée (par exemple, demander une authentification MFA). Par exemple, vous pourriez avoir une application destinée aux employés qui authentifie les utilisateurs avec des noms d’utilisateur et des mots de passe, mais si un utilisateur veut accéder à des renseignements sur le salaire, il doit fournir un deuxième facteur, comme une notification poussée sur mobile. Vous pouvez mettre cela en œuvre en vérifiant le jeton d’identité lorsque l’utilisateur tente d’accéder à cette page. Si les revendications indiquent que l’utilisateur s’est déjà authentifié avec MFA, affichez les renseignements sensibles. Sinon, déclenchez de nouveau l’authentification et, à l’aide d’une Action, demandez à l’utilisateur de s’authentifier avec MFA. Pour en savoir plus, consultez Configurer l’authentification renforcée pour les applications web.

En savoir plus