Passer au contenu principal
Vous pouvez personnaliser l’authentification multifacteur () adaptative pour une variété de scénarios avec Auth0 Actions.

Quand personnaliser l’authentification multifacteur (MFA) adaptative

Vous ne devez envisager de personnaliser l’authentification multifacteur (MFA) adaptative que si vos utilisateurs sont inscrits à la MFA et doivent utiliser une adresse électronique comme identifiant.
Si vos utilisateurs ne sont pas inscrits à la MFA, vous devriez utiliser l’autorisation par défaut pour l’authentification multifacteur (MFA) adaptative. Si un utilisateur n’est pas inscrit à la MFA et que votre action évalue le risque comme étant élevé, vous avez très peu d’options pour arrêter un acteur menaçant. Avant de commencer à personnaliser l’authentification multifacteur (MFA) adaptative, posez-vous quelques questions :
  • À quel niveau de confiance souhaitez-vous déclencher la MFA?
  • Comment voulez-vous mesurer le risque?
  • Voulez-vous qu’Auth0 mesure la confiance ou souhaitez-vous une mesure personnalisée?
  • Comment allez-vous gérer les utilisateurs qui ne sont pas inscrits à la MFA?

Évaluer la confiance

L’authentification multifacteur (MFA) adaptative calcule un pointage total de la confiance basé sur l’analyse de trois évaluations. Chaque évaluation a son propre pointage de confiance. Pour en savoir plus, consultez Adaptive MFA.

Pointages de confiance

Les pointages de confiance et leurs actions associées sont décrits ci-dessous :

Pointage de confiance personnalisé

Si vous souhaitez implémenter votre propre méthode pour évaluer le pointage de confiance total de différents scénarios, vous pouvez utiliser les données dises dans l’objet RiskAssessment. Consultez les exemples ci-dessous pour découvrir comment l’authentification multifacteur (MFA) adaptative évalue la confiance dans différents cas d’utilisation.

Exemples de scénarios à haut risque et à faible confiance

Le tableau suivant décrit les scénarios à haut risque qui entraînent un low pointage de confiance :

Exemples de scénarios à haut risque et à forte confiance

Le tableau suivant décrit les scénarios à faible risque qui entraînent un pointage high de confiance :

Objet riskAssessment

L’objet riskAssessment contient le pointage de confiance total, les informations de version et les détails des évaluations individuelles.

Objet assessments

L’objet assessments contient des détails sur les trois évaluations de risques individuelles :
  1. Évaluation NewDevice
  2. Évaluation ImpossibleTravel
  3. Évaluation UntrustedIP
  4. Évaluation PhoneNumber
Chaque évaluation comprend un pointage de confiance, un code qui décrit le résultat de l’évaluation et des informations contextuelles supplémentaires.
Dans le cas improbable d’une défaillance du système dorsal d’évaluation, le code de l’évaluation sera assessment_not_available et la confiance associée sera low car Auth0 adopte par défaut un comportement sécurisé. Vous pouvez remplacer cette notation à l’aide d’Actions. Pour en savoir plus, lisez Gérer en toute sécurité les cas où Auth0 ne parvient pas à exécuter les évaluateurs.

Évaluation NewDevice

L’évaluation NewDevice détermine si l’utilisateur se connecte à partir d’un appareil connu et contient les propriétés suivantes :
Propriété du code d’évaluation NewDevice
La propriété du code d’évaluation NewDevice est égale à l’une des valeurs suivantes :
Objet de détails d’évaluation NewDevice
Si la valeur de la propriété du code équivaut à match, partial_match ou no_match, l’évaluation NewDevice contient l’objet details avec les propriétés suivantes :

Évaluation ImpossibleTravel

L’évaluation ImpossibleTravel détermine si l’utilisateur se connecte à partir d’un emplacement qui pourrait indiquer un possible déplacement et contient les propriétés suivantes :

Évaluation UntrustedIP

L’évaluation UntrustedIP détermine si l’adresse IP de l’utilisateur est présente dans le référentiel d’adresses IP de faible réputation d’Auth0 (« liste de refus ») et contient les propriétés suivantes :
Objet de détails d’évaluation UntrustedIP
Si la valeur de la propriété du code d’évaluation UntrustedIP est égale à found_on_deny_list, l’objet details est présent et contient les propriétés suivantes :
Propriété de catégorie d’objet détails d’évaluation UntrustedIP
La propriété de catégorie d’objet détails d’évaluation UntrustedIP décrit la raison générale pour laquelle l’authentification multifacteur (MFA) adaptative considère une adresse IP donnée comme étant non fiable et est égale à l’une des valeurs suivantes :

Évaluation PhoneNumber

L’évaluation PhoneNumber évalue le risque qu’un numéro de téléphone représente pour une transaction entrante et contient les propriétés suivantes :
Objet de détails d’évaluation PhoneNumber
L’objet de details d’évaluation PhoneNumber contient les propriétés suivantes :

Résultats des actions

Les actions qui déclenchent la MFA sont prioritaires sur le comportement par défaut de l’authentification multifacteur (MFA) adaptative.
Si l’une de vos actions déclenche la MFA en fonction du pointage de confiance, la stratégie Authentification multifacteur (MFA) adaptative par défaut déclenche la MFA lorsque le pointage de confiance est low. Le tableau suivant montre les résultats possibles en fonction de la combinaison d’actions et d’actions d’autorisations de l’authentification multifacteur (MFA) adaptative par défaut.

Modèles d’actions

Auth0 propose deux modèles d’actions basés sur l’authentification multifacteur (MFA) adaptative que vous pouvez personnaliser : Authentification multifacteur (MFA) adaptative et Inscription à l’AMF requise.

Modèle d’authentification multifacteur (MFA) adaptative

Ce modèle fournit un exemple et un point de départ sur la manière de créer un flux commercial personnalisé en utilisant des évaluations de risques individuelles.

Exiger un modèle d’inscription à la MFA

Ce modèle montre comment vous pouvez appliquer l’inscription à la MFA lorsque vous utilisez une stratégie d’authentification multifacteur standard ou adaptative. Il utilise event.user.multifactor pour vérifier si l’utilisateur est inscrit à la MFA et, si ce n’est pas le cas, l’invite à le faire.

Actions de cas d’utilisation

Voici quelques suggestions sur la manière de créer des actions personnalisées en fonction de votre cas d’utilisation.

Effectuer une action si le pointage de confiance total est X

Évaluez la propriété RiskAssessment.confidence, puis comparez-la aux constantes high, medium ou low :

Réaliser une action si le pointage de confiance est supérieur ou inférieur à X

Les pointages de confiance sont des valeurs discrètes (et non comprises dans une gamme); vous ne pouvez donc pas utiliser d’opérateurs de comparaison (tels que < ou >) pour évaluer plusieurs valeurs dans une seule condition. Utilisez plusieurs conditions pour combiner logiquement tous les pointages de confiance que vous souhaitez gérer. Par exemple, si vous souhaitez savoir quand le pointage de confiance est plus élevé que low, vérifiez s’il est égale à medium ou à high :

Obtenir des détails supplémentaires si le pointage de confiance total est X

L’objet riskAssessment est enregistré dans vos journaux de locataire. Vous pouvez afficher les entrées du journal pour voir le pointage d’évaluation des risques et les facteurs déterminants (raisons). Vous pouvez afficher l’objet riskAssessment et signaler les résultats à un autre endroit. Par exemple, vous pouvez envoyer un courriel ou sauvegarder un enregistrement dans une base de données externe.

Réaliser une action si une évaluation donnée a un résultat donné

Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, y compris la propriété du code :

Regroupez les évaluations pour obtenir un pointage de confiance total personnalisé.

Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, puis utilisez la propriété confidence, la propriété du code, ou les deux. Pour en savoir plus sur le pointage de confiance personnalisé, consultez Pointage de confiance personnalisé.

Bloquer la transaction en cours et renvoyer une erreur et un message si une évaluation donnée a un résultat donné

Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, y compris la propriété du code. Empêchez la transaction de connexion de se terminer en renvoyant la fonction de rappel avec un objet UnauthorizedError comme paramètre d’erreur. L’objet UnauthorizedError définit toujours error sur unauthorized, mais vous pouvez personnaliser leerror_message :
Ceci redirige l’utilisateur vers l’URL de rappel de l’application avec les paramètres error et error_message inclus.

Gérer en toute sécurité les cas où Auth0 ne parvient pas à exécuter les évaluations

Auth0 attribue automatiquement un pointage de confiance low en cas d’échec de l’évaluation des risques. Pour mitiger ce scénario, utilisez l’objet assessments pour inspecter la propriété du code pour chaque évaluation individuelle et vérifier si la valeur est définie sur assessment_not_available.

En savoir plus