Configurer Cisco Duo Security pour MFA
Before you start
Configurez votre compte Duo. Pour en savoir plus, consultez Premiers pas avec Duo Docs.
Créez une intégration trousse SDK Web double sécurité et enregistrez la clé d’intégration, la clé secrète et les informations d’identification du nom d’hôte de l’API.
Cisco Duo est un fournisseur d’authentification multiforme et ne peut être utilisé sur votre locataire Auth0 que si tous les autres facteurs sont désactivés. Selon votre configuration, votre compte Duo peut prendre en charge divers moyens de vérification tels que les notifications poussées, les SMS, les OTP, rappels téléphoniques, et bien d’autres encore.
Vous ne pouvez pas non plus activer Duo si d’autres facteurs sont activés. Duo n’est disponible pour les utilisateurs que lorsqu’il est le seul facteur activé.
L’application demandera à l’utilisateur le deuxième facteur avec Duo, répertoriant les options que vous avez activées dans votre compte Duo.
Vos utilisateurs peuvent télécharger Duo depuis Google Play ou l’App Store à utiliser comme deuxième facteur.
Configurer Duo
Pour configurer Duo Security, vous devez transmettre vos informations d’identification Duo à votre application dans l’Auth0 Dashboard.
Accédez à Dashboard > Sécurité > Authentification multi-facteurs > Duo Security et activez-le.
Saisissez les informations dans les champs pour lier votre compte Duo à Auth0.
Sélectionnez Enregistrer.
Utiliser les Actions pour activer Duo
Pour activer Duo dans une Action, passez duo comme le paramètre provider lorsque vous activez l’authentification multifacteur (MFA).
exports.onExecutePostLogin = async (event, api) => {
api.multifactor.enable('duo', { allowRememberBrowser: false });
};Was this helpful?
Duo ne propose pas d’option pour le comportement « Souvenez-vous de moi ». La session MFA de 30 jours est préconfigurée pour mémoriser l’utilisateur après la connexion initiale.
Pour exiger que vos utilisateurs se connectent systématiquement avec Duo, créez une règle en définissant le paramètre allowRememberBrowser: false.
Modèle d’Actions pour Duo
Ce modèle offre un exemple et un point de départ pour activer l’authentification multifacteur (MFA) avec Duo Security lorsque certaines conditions sont remplies.
Lors de la première connexion, l’utilisateur peut inscrire l’appareil.
Vous devez créer deux intégrations dans Duo Security : une de type Trousse SDK Web et une de type Trousse SDK Admin.
exports.onExecutePostLogin = async (event, api) => {
const CLIENTS_WITH_MFA = ['{yourClientId}'];
// run only for the specified clients
if (CLIENTS_WITH_MFA.includes(event.client.client_id)) {
// uncomment the following if clause in case you want to request a second factor only from user's that have user_metadata.use_mfa === true
//if (event.user.user_metadata && event.user.user_metadata.use_mfa){
// optional, defaults to true. Set to false to force DuoSecurity every time.
// See https://auth0.com/docs/multifactor-authentication/custom#change-the-frequency-of-authentication-requests for details
api.multifactor.enable('duo', {
providerOptions.ikey: configuration.DUO_IKEY,
providerOptions.skey: configuration.DUO_SKEY,
providerOptions.host: configuration.DUO_HOST,
allowRememberBrowser: false
})
// optional. Use some attribute of the profile as the username in DuoSecurity. This is also useful if you already have your users enrolled in Duo.
// username: event.user.nickname
};
// }
};Was this helpful?
Limitations actuelles
Vous ne pouvez pas utiliser un billet d’inscription MFA Auth0 pour inscrire des utilisateurs avec Duo. Embarquez ces utilisateurs depuis Duo lui-même.
Si vous utilisez la connexion universelle, vous devez activer Duo dans une action en définissant
providersurDuo, comme décrit précédemment. Vous pouvez utiliser Duo ou le fournisseur Auth0 intégré de manière conditionnelle pour des applications spécifiques.