Login, Home Realm Discovery and MFA
FoxIDs gère la connexion utilisateur dans la méthode d’authentification login. Il est possible de configurer plusieurs méthodes d’authentification login par environnement avec des configurations et un look and feel différents.
Un environnement contient un référentiel d’utilisateurs et toutes les méthodes d’authentification login configurées dans un environnement authentifient les utilisateurs avec le même référentiel d’utilisateurs.
Lorsqu’un utilisateur s’authentifie, la session de l’utilisateur est associée à la méthode d’authentification login. Par conséquent, un utilisateur peut s’authentifier dans plusieurs méthodes d’authentification login configurées et avoir plusieurs sessions utilisateur distinctes.
Une session utilisateur n’est pas établie dans la méthode d’authentification login si la durée de vie de la session est définie sur 0 seconde.
Un enregistrement d’application OpenID Connect ou un enregistrement d’application SAML 2.0 peut authentifier des utilisateurs en sélectionnant une méthode d’authentification login.
La méthode d’authentification login authentifie les utilisateurs dans une interface de connexion en deux étapes, avec la saisie du nom d’utilisateur et du mot de passe sur deux pages distinctes.
Home Realm Discovery (HRD)
Lorsque vous créez un enregistrement d’application, la meilleure solution est le plus souvent d’utiliser la notation étoile par défaut (*) pour sélectionner toutes les méthodes d’authentification.
Si un enregistrement d’application est configuré pour n’autoriser qu’une méthode d’authentification, l’utilisateur est immédiatement redirigé vers cette méthode d’authentification.
Si plusieurs méthodes d’authentification sont autorisées, l’utilisateur est redirigé vers une méthode d’authentification login qui permet de sélectionner une méthode d’authentification selon l’adresse IP du client, les domaines email ou des expressions régulières.
L’UI de connexion n’est pas affichée si une méthode d’authentification est sélectionnée en fonction de l’adresse IP du client.
Adresse IP du client
Sélectionnez la méthode d’authentification en fonction de l’adresse IP du poste / PC du client.
Sélectionner par adresse IP ou par plage d’adresses IP :
192.168.0.0/255.255.255.0sélectionne de '192.168.0.0' à '192.168.0.255'192.168.10.0/24sélectionne de '192.168.10.0' à '192.168.10.255'192.168.0.10 - 192.168.10.20sélectionne de '192.168.0.10' à '192.168.10.20'192.168.10.10-20sélectionne de '192.168.10.10' à '192.168.10.20'fe80::/10sélectionne par exemple 'fe80::d503:4ee:3882:c586%3'
Domaine email
Sélectionnez la méthode d’authentification en fonction du domaine email de l’utilisateur.
Sélectionner par domaines ou utiliser (*) pour sélectionner tous les domaines non configurés sur une autre méthode d’authentification.
Expression régulière
Sélectionnez la méthode d’authentification en fonction d’une correspondance d’expression régulière insensible à la casse pour les emails, numéros de téléphone et noms d’utilisateur.
Sélectionner par expression régulière :
xyz$correspond aux emails et noms d’utilisateur se terminant par 'xyz'^+45correspond aux numéros de téléphone commençant par l’indicatif '+45'abdcorrespond aux emails et noms d’utilisateur contenant 'abc'^q10.*@@xyz\.com$correspond aux emails commençant par 'q10' dans le domaine 'xyz.com'
Il est possible de sélectionner si le bouton HRD doit être affiché pour la méthode d’authentification même si une adresse IP / plage, un domaine HRD ou une expression régulière est configuré.
Voici un exemple d’écran de connexion avec HRD, il peut être personnalisé.
Le titre, l’icône et le CSS configurés sur la première méthode d’authentification login autorisée sur l’enregistrement d’application sont utilisés. Sans méthode d’authentification login autorisée configurée, le titre, l’icône et le CSS de la méthode d’authentification login par défaut sont utilisés.
Two-factor authentication (2FA/MFA)
Une méthode d’authentification login prend en charge l’authentification à deux facteurs (2FA) / l’authentification multi facteurs (MFA) avec une application d’authentification, SMS et email.
L’authentification à deux facteurs avec une application d’authentification, SMS et email est activée par défaut et est initiée si nécessaire.
L’authentification à deux facteurs peut être définie comme une exigence dans chaque méthode d’authentification login, par utilisateur ou requise par l’OpenID Connect ou l’enregistrement d’application SAML 2.0 appelant.
Vous pouvez utiliser une application d’authentification à deux facteurs de votre choix comme Anthy, Google Authenticator, Microsoft Authenticator et autres.
Dans cet exemple, l’utilisateur est invité à effectuer une authentification à deux facteurs avec une application d’authentification ou à changer pour utiliser SMS ou email.
Un numéro de téléphone et un email peuvent être configurés comme identifiant utilisateur ou comme claim avec les types de claims phone_number et email.
Le type d’authentification à deux facteurs est sélectionné comme indiqué dans ce tableau.
| SMS two-factor enabled and user has phone number | Email two-factor enabled and user has email | User has registered authenticator app | Possible two-factor type(s) | Selected two-factor type |
|---|---|---|---|---|
| false | false | false | Authenticator app | Authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS - can register authenticator app after SMS verification | SMS |
| true | false | true | SMS and authenticator app | Authenticator app |
| false | true | false | Email - can register authenticator app after email verification | |
| false | true | true | Email and authenticator app | Authenticator app |
| true | true | false | SMS and mail - can register authenticator app after SMS/email verification | SMS |
| true | true | true | SMS, email and authenticator app | Authenticator app |
Configuration login
Une méthode d’authentification login par défaut est créée dans chaque environnement.
Le login par défaut nommé
loginpeut être modifié mais pas supprimé, soyez prudent car vous pourriez perdre l’accès.
Le titre, l’icône et le CSS configurés sur la méthode d’authentification login par défaut sont utilisés dans le cas où aucune méthode d’authentification login n’est sélectionnée, par exemple sur la page d’erreur ou lors de la sélection HRD sans méthode d’authentification login.
Configurer les options de login
Il peut être configuré si les utilisateurs doivent être autorisés à définir leur mot de passe, si les utilisateurs sont autorisés à créer un nouvel utilisateur en ligne, quels identifiants utilisateurs utiliser et si l’utilisateur doit se connecter avec un mot de passe ou un mot de passe à usage unique (OTP) par email ou SMS.
L’UI peut être personnalisée et bien plus encore.
De nouveaux utilisateurs peuvent être créés par l’administrateur via le Control Client ou provisionnés via l’API Control.
Configurer l’authentification à deux facteurs (2FA)
Les options de deux facteurs peuvent être modifiées et le nom de l’application d’authentification affiché pour les utilisateurs peut être modifié. Le nom est par défaut défini sur le nom du tenant. Vous souhaiterez probablement le modifier pour quelque chose de plus lisible.
Vous pouvez choisir d’exiger l’authentification à deux facteurs pour tous les utilisateurs s’authentifiant via la méthode d’authentification login.
Configurer la session utilisateur
Cliquez sur Show advanced pour modifier la durée de vie des sessions utilisateur. La durée de vie par défaut est de 10 heures.
La session utilisateur est une session glissante, où la durée de vie est prolongée à chaque fois qu’une application effectue une requête de connexion jusqu’à atteindre la durée de vie absolue de la session.
Il est possible de configurer une durée de vie absolue de la session ou non.
La session utilisateur peut être modifiée en session persistante, conservée lorsque le navigateur est fermé puis rouvert.
La session utilisateur devient persistante si la durée de vie de la session persistante est configurée à plus de 0. Ou si l’option de durée de vie illimitée de la session persistante est définie sur Yes.
Cliquez sur l’onglet
User sessionpour voir tous les paramètres de session.
Configurer les claims
Vous pouvez modifier les claims et effectuer des tâches de claims avec des transformations de claims et tâches de claims.