Authentification multi-facteur des clients

Dans un scénario d'authentification multi-facteur, en plus du nom d'utilisateur/mot de passe, l'appli exige des facteurs supplémentaires, tels que « quelque chose que vous connaissez », « quelque chose que vous avez » ou « quelque chose qui fait partie de vous ». Parmi les méthodes les plus connues, citons l'empreinte digitale avec Apple TouchID, le balayage de la rétine, la reconnaissance faciale ou vocale, un mot de passe à usage unique généré par un jeton matériel ou logiciel, un code envoyé par SMS ou par e-mail, les réponses à des questions secrètes ou être présent dans un lieu physique prédéterminé... la liste est longue.

La MFA peut être demandée pendant la connexion initiale pour vérifier l'identité du client qui veut utiliser une application spécifique. En outre, une technique dite « MFA contextuelle » gagne en popularité. Les facteurs d'identification supplémentaires demandés sont basés sur le contexte de l'interaction du client. Ils peuvent inclure le groupe auquel il appartient, le lieu ou l'appareil utilisé pour la connexion, une ressource à laquelle il accède ou l'heure de la connexion.

Auth0 permet d'améliorer à la fois les applications existantes, pour lesquelles il n'existe pas de code source, et les nouvelles applications où ce code est disponible. Pour les applications existantes, il suffit de remplacer, dans le paramétrage d'accès, le fournisseur d'identifiants (IdP) des clients par Auth0. Auth0 pourra alors faire office de courtier entre l'application et l'IdP du client d'origine ou la base de données des utilisateurs externes. Les applications plus récentes utilisent les API Auth0 basées sur des SDK pratiques, conçus pour chaque appareil mobile ou framework d'application. Elles bénéficient aussi des échantillons de code Auth0 et des conseils personnalisés étape par étape pour chaque scénario spécifique que les développeurs plébiscitent.

Auth0 ajoute donc la fonction MFA et d'autres dans les applications existantes et nouvelles.

Lorsque les applications l'utilisent comme IdP, Auth0 vous permet de servir leurs clients existants sans qu'ils aient à changer leur mot de passe ou à faire quoi que ce soit d'autre. Les clients peuvent avoir le choix de se connecter avec n'importe quel IdP de réseau social et commercial, ou un IdP basé sur des normes, comme Windows Live, Google, Facebook, Amazon, Salesforce, pour ne citer que quelques exemples.

Auth0 se fédère avec n'importe quel IdP OpenID Connect, OAuth ou autres.

Une fois en place, Auth0 constitue une base solide pour ajouter des fonctionnalités, exploitant une méthode uniforme dans toutes les applications pour appareils mobiles ou sites Web. Ses fonctions supplémentaires incluent la SSO, l'authentification sans mot de passe, l'authentification multi-facteur, la MFA contextuelle, l'enregistrement des activités des utilisateurs, etc.

L'authentification multi-facteur contextuelle est une fonction facile à mettre en œuvre, quel que soit le moment ou le lieu, pour chaque application, chaque utilisateur ou groupe d'utilisateurs. Les fonctions MFA Auth0 incluent :

(i) Les dizaines d'options MFA actuellement disponibles, notamment SMS, e-mail, biométrie et systèmes sans mot de passe. Avec Auth0, vous serez toujours en mesure d'ajouter d'autres options dès qu'elles seront disponibles ou nécessaires. Auth0 prend en charge tous les fournisseurs de services MFA, grâce à de puissantes « règles » de flux d'authentification, qui sont décrites ci-dessous.

(ii) La MFA contextuelle qui vous permet de renforcer la sécurité en définissant des conditions arbitraires pour déclencher des défis d'authentification supplémentaires des clients. Ces facteurs contextuels incluent, par exemple, l'emplacement géographique (geo-fencing), l'adresse ou le type de réseau utilisé (filtrage IP), l'heure de la journée, le jour de la semaine ou le changement de l'emplacement ou du dispositif utilisé pour la connexion, tels que décrits ici (https://auth0.com/docs/multifactor-authentication).

(iii) Avec un simple bouton sur le tableau de bord Auth0, vous ajoutez l'expérience MFA Google Authenticator (https://en.wikipedia.org/wiki/Google_Authenticator) ou l'expérience MFA Duo Security (https://www.duosecurity.com/) dans le flux d'authentification, pour toutes les applications.

Activation MFA pour toute application, avec un simple bouton

Pour personnaliser et étendre le flux d'authentification, Auth0 utilise des fonctions JavaScript appelées règles (https://auth0.com/docs/rules). Exécutées dans une sandbox sécurisée, elles permettent d'étendre facilement la portée d'Auth0. Les règles interviennent après l'authentification correcte du client par l'IdP existant et avant que le contrôle ne revienne à l'application qui a appelé Auth0.

Les règles interviennent après l'authentification correcte et avant que le contrôle ne soit rendu à l'application.

Un grand nombre de nos clients a confirmé que la fonction règles Auth0 est très utile. Les règles vous permettent de mettre en œuvre facilement toutes sortes de personnalisations du processus de connexion avec juste un peu de code JavaScript. Parmi les utilisations les plus fréquentes des règles, nous avons :

• L'ajout de l'authentification multi-facteur
• La MFA contextuelle (sensibilité au contexte, authentification basée sur le risque)
• L'ajout, la suppression ou l'enrichissement des attributs utilisateurs définis par plusieurs IdP ou des bases de données.
• L'enregistrement des utilisateurs
• Le consentement et l'acceptation des conditions juridiques
• La redirection vers une page spécifique, pour autoriser l'envoi des revendications utilisateurs au demandeur
• L'envoi d'événements à des outils d'analyse comme Mixpanel, Segment ou KISSMetrics
• L'application des politiques de contrôle des accès

Auth0 propose différents modèles pour accélérer la création de règles. La communauté GitHUB (https://github.com/auth0/rules) fournit un grand nombre de règles utiles.