Quand personnaliser l’authentification multifacteur (MFA) adaptative
Vous ne devez envisager de personnaliser l’authentification multifacteur (MFA) adaptative que si vos utilisateurs sont inscrits à la MFA et doivent utiliser une adresse électronique comme identifiant.
- À quel niveau de confiance souhaitez-vous déclencher la MFA?
- Comment voulez-vous mesurer le risque?
- Voulez-vous qu’Auth0 mesure la confiance ou souhaitez-vous une mesure personnalisée?
- Comment allez-vous gérer les utilisateurs qui ne sont pas inscrits à la MFA?
Évaluer la confiance
L’authentification multifacteur (MFA) adaptative calcule un pointage total de la confiance basé sur l’analyse de trois évaluations. Chaque évaluation a son propre pointage de confiance. Pour en savoir plus, consultez Adaptive MFA.Pointages de confiance
Les pointages de confiance et leurs actions associées sont décrits ci-dessous :Pointage de confiance personnalisé
Si vous souhaitez implémenter votre propre méthode pour évaluer le pointage de confiance total de différents scénarios, vous pouvez utiliser les données dises dans l’objet RiskAssessment. Consultez les exemples ci-dessous pour découvrir comment l’authentification multifacteur (MFA) adaptative évalue la confiance dans différents cas d’utilisation.Exemples de scénarios à haut risque et à faible confiance
Le tableau suivant décrit les scénarios à haut risque qui entraînent unlow pointage de confiance :
Exemples de scénarios à haut risque et à forte confiance
Le tableau suivant décrit les scénarios à faible risque qui entraînent un pointagehigh de confiance :
Objet riskAssessment
L’objetriskAssessment contient le pointage de confiance total, les informations de version et les détails des évaluations individuelles.
Objet assessments
L’objetassessments contient des détails sur les trois évaluations de risques individuelles :
Chaque évaluation comprend un pointage de confiance, un code qui décrit le résultat de l’évaluation et des informations contextuelles supplémentaires.
Dans le cas improbable d’une défaillance du système dorsal d’évaluation, le code de l’évaluation sera
assessment_not_available et la confiance associée sera low car Auth0 adopte par défaut un comportement sécurisé. Vous pouvez remplacer cette notation à l’aide d’Actions. Pour en savoir plus, lisez Gérer en toute sécurité les cas où Auth0 ne parvient pas à exécuter les évaluateurs.Évaluation NewDevice
L’évaluationNewDevice détermine si l’utilisateur se connecte à partir d’un appareil connu et contient les propriétés suivantes :
Propriété du code d’évaluation NewDevice
La propriété ducode d’évaluation NewDevice est égale à l’une des valeurs suivantes :
Objet de détails d’évaluation NewDevice
Si la valeur de la propriété ducode équivaut à match, partial_match ou no_match, l’évaluation NewDevice contient l’objet details avec les propriétés suivantes :
Évaluation ImpossibleTravel
L’évaluationImpossibleTravel détermine si l’utilisateur se connecte à partir d’un emplacement qui pourrait indiquer un possible déplacement et contient les propriétés suivantes :
Évaluation UntrustedIP
L’évaluationUntrustedIP détermine si l’adresse IP de l’utilisateur est présente dans le référentiel d’adresses IP de faible réputation d’Auth0 (« liste de refus ») et contient les propriétés suivantes :
Objet de détails d’évaluation UntrustedIP
Si la valeur de la propriété ducode d’évaluation UntrustedIP est égale à found_on_deny_list, l’objet details est présent et contient les propriétés suivantes :
Propriété de catégorie d’objet détails d’évaluation UntrustedIP
La propriété decatégorie d’objet détails d’évaluation UntrustedIP décrit la raison générale pour laquelle l’authentification multifacteur (MFA) adaptative considère une adresse IP donnée comme étant non fiable et est égale à l’une des valeurs suivantes :
Évaluation PhoneNumber
L’évaluationPhoneNumber évalue le risque qu’un numéro de téléphone représente pour une transaction entrante et contient les propriétés suivantes :
Objet de détails d’évaluation PhoneNumber
L’objet dedetails d’évaluation PhoneNumber contient les propriétés suivantes :
Résultats des actions
Les actions qui déclenchent la MFA sont prioritaires sur le comportement par défaut de l’authentification multifacteur (MFA) adaptative.
low.
Le tableau suivant montre les résultats possibles en fonction de la combinaison d’actions et d’actions d’autorisations de l’authentification multifacteur (MFA) adaptative par défaut.
Modèles d’actions
Auth0 propose deux modèles d’actions basés sur l’authentification multifacteur (MFA) adaptative que vous pouvez personnaliser : Authentification multifacteur (MFA) adaptative et Inscription à l’AMF requise.Modèle d’authentification multifacteur (MFA) adaptative
Ce modèle fournit un exemple et un point de départ sur la manière de créer un flux commercial personnalisé en utilisant des évaluations de risques individuelles.Exiger un modèle d’inscription à la MFA
Ce modèle montre comment vous pouvez appliquer l’inscription à la MFA lorsque vous utilisez une stratégie d’authentification multifacteur standard ou adaptative. Il utiliseevent.user.multifactor pour vérifier si l’utilisateur est inscrit à la MFA et, si ce n’est pas le cas, l’invite à le faire.
Actions de cas d’utilisation
Voici quelques suggestions sur la manière de créer des actions personnalisées en fonction de votre cas d’utilisation.Effectuer une action si le pointage de confiance total est X
Évaluez la propriétéRiskAssessment.confidence, puis comparez-la aux constantes high, medium ou low :
Réaliser une action si le pointage de confiance est supérieur ou inférieur à X
Les pointages de confiance sont des valeurs discrètes (et non comprises dans une gamme); vous ne pouvez donc pas utiliser d’opérateurs de comparaison (tels que< ou >) pour évaluer plusieurs valeurs dans une seule condition.
Utilisez plusieurs conditions pour combiner logiquement tous les pointages de confiance que vous souhaitez gérer. Par exemple, si vous souhaitez savoir quand le pointage de confiance est plus élevé que low, vérifiez s’il est égale à medium ou à high :
Obtenir des détails supplémentaires si le pointage de confiance total est X
L’objetriskAssessment est enregistré dans vos journaux de locataire. Vous pouvez afficher les entrées du journal pour voir le pointage d’évaluation des risques et les facteurs déterminants (raisons).
Vous pouvez afficher l’objet riskAssessment et signaler les résultats à un autre endroit. Par exemple, vous pouvez envoyer un courriel ou sauvegarder un enregistrement dans une base de données externe.
Réaliser une action si une évaluation donnée a un résultat donné
Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, y compris la propriété ducode :
Regroupez les évaluations pour obtenir un pointage de confiance total personnalisé.
Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, puis utilisez la propriétéconfidence, la propriété du code, ou les deux.
Pour en savoir plus sur le pointage de confiance personnalisé, consultez Pointage de confiance personnalisé.
Bloquer la transaction en cours et renvoyer une erreur et un message si une évaluation donnée a un résultat donné
Utilisez l’objet assessments pour accéder aux détails des évaluations individuelles, y compris la propriété ducode.
Empêchez la transaction de connexion de se terminer en renvoyant la fonction de rappel avec un objet UnauthorizedError comme paramètre d’erreur. L’objet UnauthorizedError définit toujours error sur unauthorized, mais vous pouvez personnaliser leerror_message :
error et error_message inclus.
Gérer en toute sécurité les cas où Auth0 ne parvient pas à exécuter les évaluations
Auth0 attribue automatiquement un pointage de confiancelow en cas d’échec de l’évaluation des risques.
Pour mitiger ce scénario, utilisez l’objet assessments pour inspecter la propriété du code pour chaque évaluation individuelle et vérifier si la valeur est définie sur assessment_not_available.