MFAにCisco Duo Securityを構成する
Before you start
お手持ちのDuoアカウントを構成します。詳細については、Duo Docsの「Getting Started」をお読みください。
Duo SecurityのWeb SDK統合を作成し、統合キー、秘密鍵とAPIホスト名の資格情報を記録します。
Cisco Duoは多角的な認証プロバイダーで、他の要素がすべて無効な場合にのみ、Auth0テナントで使用できますDuoアカウントはプッシュ通知、SMS、OTP、電話でのコールバックの他、構成によってはそれ以外にも対応することができます。
他の要素が有効になっている場合、Duoは有効化できません。Duoは、それだけが単独で有効になっている場合にのみ使うことができます。
アプリケーションは、ユーザーにDuoを使った第二要素を求める際に、Duoアカウントで有効になっているオプションを表示します。
ユーザーはGoogle PlayやApp StoreからDuoをダウンロードして、第二要素として使うことができます。
Duoを構成する
Duo Securityを構成するには、Auth0 DashboardでアプリケーションにDuoの資格情報を渡す必要があります。
[Dashboard]>[Security(セキュリティ)]>[Multi-factor Auth(多要素認証)]>[Duo Security]に移動して、有効にします。
フィールドに情報を入力して、DuoアカウントをAuth0とリンクさせます。
[Save(保存)]を選択します。
アクションを使ってDuoを有効にする
アクション内でDuoを有効化するには、多要素認証を有効化する際にduoをproviderパラメーターとして渡します。
exports.onExecutePostLogin = async (event, api) => {
api.multifactor.enable('duo', { allowRememberBrowser: false });
};Was this helpful?
Duoには、「Remember Me(自動ログイン)」の動作オプションはありません。初回のログイン後にユーザーを記憶しておく、30日間のMFAセッションがハードコードされています。
ユーザーが毎回Duoを使ってログインすることを強制するには、allowRememberBrowser: falseを使ってルールを作成します。
Duo用のアクションテンプレート
このテンプレートは例として、条件が満たされた場合にDuo Securityを使った多要素認証をトリガーする始点を提供します。
初めてログインした後、ユーザーはデバイスを登録することができます。
Duo Securityでは、Web SDKとAdmin SDKの2種類の統合を作成する必要があります。
exports.onExecutePostLogin = async (event, api) => {
const CLIENTS_WITH_MFA = ['{yourClientId}'];
// run only for the specified clients
if (CLIENTS_WITH_MFA.includes(event.client.client_id)) {
// uncomment the following if clause in case you want to request a second factor only from user's that have user_metadata.use_mfa === true
//if (event.user.user_metadata && event.user.user_metadata.use_mfa){
// optional, defaults to true. Set to false to force DuoSecurity every time.
// See https://auth0.com/docs/multifactor-authentication/custom#change-the-frequency-of-authentication-requests for details
api.multifactor.enable('duo', {
providerOptions.ikey: configuration.DUO_IKEY,
providerOptions.skey: configuration.DUO_SKEY,
providerOptions.host: configuration.DUO_HOST,
allowRememberBrowser: false
})
// optional. Use some attribute of the profile as the username in DuoSecurity. This is also useful if you already have your users enrolled in Duo.
// username: event.user.nickname
};
// }
};Was this helpful?
現在の制限
Duoを使ってユーザーを登録するのに、Auth0のMFA登録チケットは使用できません。それらのユーザーは、Duoから登録します。
ユニバーサルログインを使う場合には、上記のように、アクションで
providerをduoに設定してDuoを有効化する必要があります。特定のアプリケーションには、Duoを条件付きで使用するか、内蔵のAuth0プロバイダーを使うことができます。