Autenticación de dos factores y multi-factor (2FA/MFA)
FoxIDs admite tanto un modo simple de dos factores como un modo avanzado multi-factor en el método de autenticación de inicio de sesión.
- Modo de dos factores:
Advanced multi-factorestá deshabilitado (predeterminado). - Modo multi-factor:
Advanced multi-factorestá habilitado.
Use el modo de dos factores cuando un factor adicional sea suficiente. Use el modo multi-factor cuando necesite una cadena MFA ordenada o quiera usar métodos de autenticación como pasos MFA.
Conceptos
La autenticación de dos factores (2FA) y la autenticación multi-factor (MFA) añaden uno o más pasos de verificación después del inicio de sesión principal.
- 2FA: inicio de sesión principal más un factor adicional.
- MFA: inicio de sesión principal más uno o varios factores adicionales ordenados.
Factores compatibles
FoxIDs admite factores integrados y métodos de autenticación como elementos MFA.
| Factor | Tipo | Valor AMR |
|---|---|---|
| Código SMS | Integrado | sms |
| Código por correo electrónico | Integrado | email |
| Código de authenticator app | Integrado | otp |
| Recovery code | Integrado (authenticator app) | otp |
| Método de autenticación (OIDC, SAML 2.0, TrackLink) | Elemento configurable | AMR configurado o nombre del método/perfil si está vacío |
Puede usar cualquier authenticator app compatible, por ejemplo Google Authenticator, Microsoft Authenticator, Authy y otras aplicaciones TOTP.
Cuándo se requiere MFA
La MFA se activa cuando se cumple una de las siguientes condiciones:
- El usuario tiene habilitado
Require multi-factor (2FA/MFA). - El método de autenticación de inicio de sesión tiene habilitado
Require multi-factor (2FA/MFA). - La aplicación que llama solicita MFA con ACR
urn:foxids:mfa.
Los requisitos de MFA se aplican en ambos modos. Si Advanced multi-factor está deshabilitado, el requisito se satisface con el flujo simple de dos factores.
Si se solicitan valores ACR específicos junto con urn:foxids:mfa, solo se requieren los valores ACR coincidentes.
Modo de dos factores (Advanced multi-factor está deshabilitado)
En este modo, las opciones integradas de dos factores se configuran directamente:
- Authenticator app
- SMS
- Correo electrónico
Para configurar el modo de dos factores:
- Abra la pestaña Authentication.
- Haga clic en el método de autenticación de inicio de sesión Login para editarlo.
- Haga clic en Show advanced.
- Vaya a la sección Multi-factor.
- Mantenga
Advanced multi-factordeshabilitado y configure las opciones de Authenticator app, SMS y Correo electrónico.
Se puede configurar el nombre de la authenticator app que se muestra a los usuarios. De forma predeterminada se usa el nombre del tenant.
Los factores SMS y correo electrónico requieren información de contacto del usuario. Esto puede proporcionarse como identificadores de usuario o como claims (phone_number y email).
Comportamiento de selección del tipo de dos factores
En el modo de dos factores, FoxIDs prioriza una authenticator app ya registrada. Si no hay una authenticator app registrada, SMS tiene prioridad sobre el correo electrónico cuando ambos están disponibles.
| SMS de dos factores habilitado y el usuario tiene número de teléfono | Correo electrónico de dos factores habilitado y el usuario tiene correo electrónico | El usuario tiene una authenticator app registrada | Tipos posibles de dos factores | Tipo de dos factores seleccionado |
|---|---|---|---|---|
| false | false | false | Configuración de authenticator app | Configuración de authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS con configuración opcional de authenticator app después de la verificación por SMS | SMS |
| true | false | true | SMS y authenticator app | Authenticator app |
| false | true | false | Correo electrónico con configuración opcional de authenticator app después de la verificación por correo electrónico | Correo electrónico |
| false | true | true | Correo electrónico y authenticator app | Authenticator app |
| true | true | false | SMS y correo electrónico con configuración opcional de authenticator app después de la verificación por SMS o correo electrónico | SMS |
| true | true | true | SMS, correo electrónico y authenticator app | Authenticator app |
Modo multi-factor (Advanced multi-factor está habilitado)
Cuando Advanced multi-factor está habilitado, la MFA se configura como una lista ordenada de hasta 5 elementos MFA.
Para configurar el modo multi-factor:
- Abra la pestaña Authentication.
- Haga clic en el método de autenticación de inicio de sesión Login para editarlo.
- Haga clic en Show advanced.
- Vaya a la sección Multi-factor.
- Habilite
Advanced multi-factory configure los elementos MFA ordenados.
Tipos de elementos MFA compatibles:
- Integrados:
- SMS
- Correo electrónico
- Authenticator app
- Método de autenticación:
Reglas de configuración:
- Los tipos de elementos integrados solo pueden configurarse una vez cada uno.
- Los elementos del tipo método de autenticación pueden configurarse varias veces, por ejemplo con perfiles distintos.
- Los elementos se ejecutan en el orden de la lista.
- Puede agregar, quitar y reordenar elementos.
Comportamiento AMR y ACR de los elementos MFA
Cada elemento MFA completado aporta valores de claim AMR a la sesión.
- Los valores AMR integrados son fijos:
- SMS:
sms - Correo electrónico:
email - Authenticator app y recovery code:
otp
- SMS:
- Elemento MFA de tipo método de autenticación:
- Se puede configurar un AMR personalizado opcional.
- Si el AMR está vacío, se utiliza el nombre del método de autenticación o del perfil.
Los valores ACR solicitados se comparan con los valores AMR de los elementos MFA en este formato:
urn:foxids:<amr>- Ejemplo:
urn:foxids:link
urn:foxids:mfa es el requisito general de MFA y FoxIDs agrega AMR mfa cuando la MFA se completa.
Selección y encadenamiento de elementos MFA
- Si se solicitan valores ACR específicos, debe completarse uno de los elementos MFA coincidentes.
- Si solo se solicita MFA general, cualquier elemento MFA configurado y disponible puede cumplir el requisito.
- Si existe más de un elemento MFA apto y FoxIDs no puede seleccionar uno automáticamente, se muestra una interfaz de selección.
- Si se configura una authenticator app y ya está registrada, FoxIDs la prioriza para solicitudes generales de MFA.
- Si se selecciona la configuración de authenticator app y aún no está registrada, el flujo de configuración puede continuar después de un paso seleccionado de SMS, correo electrónico o método de autenticación.
- Si solo está configurada la authenticator app, la configuración puede comenzar directamente después del inicio de sesión del primer factor.
Página MFA de método de autenticación con registro opcional de authenticator app y opción para elegir otro elemento MFA.
Página MFA SMS con registro opcional de authenticator app y opción para elegir otro elemento MFA.
Página MFA de correo electrónico donde se configura la authenticator app, con opción para elegir otro elemento MFA.
Página MFA de authenticator app con opción para elegir otro elemento MFA.
Métodos de autenticación utilizados como elementos MFA
Los métodos de autenticación (OIDC, SAML 2.0, TrackLink) pueden utilizarse como elementos MFA con estas reglas:
- Los valores ACR específicos de MFA no se reenvían a la solicitud del método de autenticación MFA.
- La respuesta del método de autenticación debe incluir el valor AMR requerido para el elemento MFA seleccionado.
- El valor AMR normalmente se agrega en el claim transform si la identidad devuelta coincide con la identidad esperada. Consulte el ejemplo de claim transform.
- Si falta el valor AMR requerido, el inicio de sesión falla.
- Después de una validación correcta, FoxIDs agrega AMR
mfaa la sesión resultante.
Solicitar MFA desde aplicaciones
Las aplicaciones pueden solicitar MFA tanto en OpenID Connect como en SAML 2.0.
Si se solicitan valores ACR específicos pero no están configurados en elementos MFA del método de autenticación de inicio de sesión seleccionado, la autenticación falla.
OpenID Connect
Use acr_values:
- MFA general:
acr_values=urn:foxids:mfa - MFA general y método específico:
acr_values=urn:foxids:mfa urn:foxids:link
SAML 2.0
Use RequestedAuthnContext.AuthnContextClassRef:
- MFA general: incluya
urn:foxids:mfa - MFA general y método específico: incluya
urn:foxids:mfay valores específicos comourn:foxids:link
Comportamiento de sesión
FoxIDs valida los valores AMR requeridos frente a la sesión de inicio de sesión actual.
- Nuevo inicio de sesión: la sesión se crea después de que se cumplen todos los requisitos.
- Step-up login: una sesión existente se actualiza después de que se cumplen todos los requisitos MFA adicionales.
- Reutilización de sesión: si la sesión ya satisface los valores AMR requeridos, FoxIDs reutiliza la sesión y no vuelve a pedir inicio de sesión.
Solución de problemas
Causas comunes de errores de MFA:
- Los valores ACR solicitados no están configurados como elementos MFA en el método de autenticación de inicio de sesión.
- Un método de autenticación usado como MFA no devuelve el valor AMR requerido.
- No hay ningún elemento MFA configurado disponible actualmente para el usuario, por ejemplo porque faltan datos de teléfono o correo electrónico para SMS o correo electrónico.