チャレンジリクエスト

POST /mfa/challenge 多要素認証 (MFA) API エンドポイントでは、ユーザーがトークンエンドポイントを利用する際に MFA を強制できるほか、ユーザー認証要素の登録と管理も行えます。まず、アプリケーションとユーザーでサポートされているチャレンジタイプに基づいて、チャレンジをリクエストします。ワンタイムパスワード (OTP) がサポートされていることがわかっている場合は、チャレンジリクエストを省略できます。次に、/oauth/token エンドポイントと指定したチャレンジタイプ (ワンタイムパスワード (OTP) 、リカバリーコード、または帯域外 (OOB) チャレンジ) を使用して、多要素認証を検証します。詳細については、以下を参照してください。

チャレンジリクエスト

アプリケーションとユーザーでサポートされているチャレンジタイプに応じて、MFA のチャレンジをリクエストします。 challenge_type は、ユーザーがどの方法でチャレンジを受け取り、所持を証明するかを示します。サポートされているチャレンジタイプは次のとおりです。

otp: ワンタイムパスワード (OTP) 用
oob: SMS/音声メッセージ、または帯域外 (OOB) 用

ユーザーが OTP をサポートしており、別の要素をリクエストする必要がない場合は、チャレンジのリクエストを省略して、ワンタイムパスワードを使用した多要素認証の検証を行えます。

注意事項

このエンドポイントは登録をサポートしていません。チャレンジをリクエストする前に、ユーザーは希望する方法で事前に登録されている必要があります。
Auth0 は、アプリケーションでサポートされているタイプと、ユーザーが登録しているタイプに基づいて、チャレンジタイプを選択します。
アプリケーションが、ユーザーが登録しているいずれのチャレンジタイプもサポートしていない場合、unsupported_challenge_type エラーが返されます。
ユーザーが登録されていない場合は、unsupported_challenge_type エラーが返されます。
ユーザーが登録されていない場合は、association_required エラーが返されます。これは、MFA を使用するにはユーザーが登録する必要があることを示します。続行方法については、以下の認証要素を追加するを参照してください。

詳しく見る

パラメーター

mfa_token

string

必須

mfa_required エラーで受け取ったトークン。

client_id

string

必須

アプリケーションのクライアントID。

client_secret

string

アプリケーションのクライアントシークレット。

challenge_type

string

アプリケーションが受け付けるチャレンジタイプの空白区切りリスト。使用可能な値: oob, otp

client_assertion

string

アプリケーションの認証情報を含む署名付きアサーションを格納した JWT。

client_assertion_type

string

値は urn:ietf:params:oauth:client-assertion-type:jwt-bearer です。

authenticator_id

string

チャレンジする認証要素の ID。

レスポンス

ステータス	説明
200	チャレンジリクエストが正常に完了しました
400	サポートされていないチャレンジタイプや登録漏れなど、無効なリクエスト。