Autenticazione a due fattori e multifattore (2FA/MFA)

FoxIDs supporta sia una modalita semplice a due fattori sia una modalita avanzata multifattore nel metodo di autenticazione login.

  • Modalita a due fattori: Advanced multi-factor e disabilitato (predefinito).
  • Modalita multifattore: Advanced multi-factor e abilitato.

Usa la modalita a due fattori quando basta un fattore aggiuntivo. Usa la modalita multifattore quando hai bisogno di una catena MFA ordinata o vuoi includere metodi di autenticazione come passaggi MFA.

Concetti

L'autenticazione a due fattori (2FA) e l'autenticazione multifattore (MFA) aggiungono uno o piu passaggi di verifica dopo l'accesso primario.

  • 2FA: accesso primario piu un fattore aggiuntivo.
  • MFA: accesso primario piu uno o piu fattori aggiuntivi ordinati.

Fattori supportati

FoxIDs supporta fattori integrati e metodi di autenticazione come elementi MFA.

Factor Type AMR value
Codice SMS Integrato sms
Codice email Integrato email
Codice app autenticatrice Integrato otp
Codice di recupero Integrato (app autenticatrice) otp
Metodo di autenticazione (OIDC, SAML 2.0, Environment Link) Elemento configurabile AMR configurato, oppure nome del metodo/profilo se vuoto

Puoi usare qualsiasi app autenticatrice compatibile, ad esempio Google Authenticator, Microsoft Authenticator, Authy e altre app TOTP.

Quando e richiesto MFA

MFA viene attivato quando si applica una delle seguenti condizioni:

  • L'utente ha abilitato Require multi-factor (2FA/MFA).
  • Il metodo di autenticazione login ha abilitato Require multi-factor (2FA/MFA).
  • L'applicazione chiamante richiede MFA con ACR urn:foxids:mfa.

I requisiti MFA si applicano in entrambe le modalita. Se Advanced multi-factor e disabilitato, il requisito viene soddisfatto dal flusso semplice a due fattori.

Se vengono richiesti valori ACR specifici insieme a urn:foxids:mfa, sono richiesti solo i valori ACR corrispondenti.

Modalita a due fattori (Advanced multi-factor e disabilitato)

In questa modalita, le opzioni integrate di autenticazione a due fattori sono configurate direttamente:

  • App autenticatrice
  • SMS
  • Email

Per configurare la modalita a due fattori:

  1. Apri la scheda Authentication.
  2. Fai clic sul metodo di autenticazione Login per modificarlo.
  3. Fai clic su Show advanced.
  4. Vai alla sezione Multi-factor.
  5. Mantieni Advanced multi-factor disabilitato e configura le opzioni App autenticatrice, SMS ed Email.

Il nome dell'app autenticatrice mostrato agli utenti puo essere configurato. Per impostazione predefinita viene usato il nome del tenant.

Configure simple two-factor options in login authentication method

I fattori SMS ed email richiedono informazioni di contatto dell'utente. Queste possono essere fornite come identificatori utente oppure come claim (phone_number ed email).

Comportamento di selezione a due fattori

In modalita a due fattori, FoxIDs preferisce un'app autenticatrice gia registrata. Se non ne e registrata alcuna, SMS ha priorita sull'email quando entrambi sono disponibili.

SMS two-factor enabled and user has phone number Email two-factor enabled and user has email User has registered authenticator app Possible two-factor type(s) Selected two-factor type
false false false Configurazione app autenticatrice Configurazione app autenticatrice
false false true App autenticatrice App autenticatrice
true false false SMS, con configurazione facoltativa dell'app autenticatrice dopo la verifica SMS SMS
true false true SMS e app autenticatrice App autenticatrice
false true false Email, con configurazione facoltativa dell'app autenticatrice dopo la verifica email Email
false true true Email e app autenticatrice App autenticatrice
true true false SMS ed email, con configurazione facoltativa dell'app autenticatrice dopo verifica SMS o email SMS
true true true SMS, email e app autenticatrice App autenticatrice

Modalita multifattore (Advanced multi-factor e abilitato)

Quando Advanced multi-factor e abilitato, MFA viene configurato come elenco ordinato di massimo 5 elementi MFA.

Per configurare la modalita multifattore:

  1. Apri la scheda Authentication.
  2. Fai clic sul metodo di autenticazione Login per modificarlo.
  3. Fai clic su Show advanced.
  4. Vai alla sezione Multi-factor.
  5. Abilita Advanced multi-factor e configura gli elementi MFA ordinati.

Tipi di elemento MFA supportati:

Regole di configurazione:

  • I tipi integrati possono essere configurati una sola volta ciascuno.
  • Gli elementi di metodo di autenticazione possono essere configurati piu volte, ad esempio con profili diversi.
  • Gli elementi vengono eseguiti nell'ordine dell'elenco.
  • Puoi aggiungere, rimuovere e riordinare gli elementi.

Configure advanced multi-factor item list with add/remove/reorder

Comportamento AMR e ACR degli elementi MFA

Ogni elemento MFA completato contribuisce ai valori del claim AMR nella sessione.

  • I valori AMR integrati sono fissi:
    • SMS: sms
    • Email: email
    • App autenticatrice e codice di recupero: otp
  • AMR dell'elemento metodo di autenticazione:
    • Puo essere configurato facoltativamente un AMR personalizzato.
    • Se l'AMR e vuoto, viene usato il nome del metodo di autenticazione o del profilo.

I valori ACR richiesti vengono confrontati con i valori AMR degli elementi MFA in questo formato:

  • urn:foxids:<amr>
  • Esempio: urn:foxids:link

urn:foxids:mfa e il requisito MFA generale e FoxIDs aggiunge AMR mfa quando MFA viene completato.

Selezione e concatenazione degli elementi MFA

  • Se vengono richiesti valori ACR specifici, deve essere completato uno degli elementi MFA corrispondenti.
  • Se viene richiesto solo MFA generale, qualsiasi elemento MFA configurato e disponibile puo soddisfare il requisito.
  • Se esiste piu di un elemento MFA idoneo e FoxIDs non riesce a selezionarne uno automaticamente, viene mostrata una UI di selezione.
  • Se e configurata un'app autenticatrice e questa e gia registrata, FoxIDs la preferisce per richieste MFA generali.
  • Se viene selezionata la configurazione dell'app autenticatrice e questa non e ancora registrata, il flusso di configurazione puo continuare dopo un passaggio selezionato di SMS, email o metodo di autenticazione.
  • Se e configurata solo l'app autenticatrice, la configurazione puo iniziare direttamente dopo l'accesso del primo fattore.

Pagina del metodo di autenticazione MFA con registrazione facoltativa dell'app autenticatrice e opzione per scegliere un elemento MFA diverso. MFA authentication method selection page

Pagina MFA SMS con registrazione facoltativa dell'app autenticatrice e opzione per scegliere un elemento MFA diverso. MFA SMS page

Pagina MFA email in cui viene configurata l'app autenticatrice, con opzione per scegliere un elemento MFA diverso. MFA Email page

Pagina MFA app autenticatrice con opzione per scegliere un elemento MFA diverso. MFA authenticator app page

Metodi di autenticazione usati come elementi MFA

I metodi di autenticazione (OIDC, SAML 2.0, Environment Link) possono essere usati come elementi MFA con queste regole:

  • I valori ACR specifici per MFA non vengono inoltrati alla richiesta del metodo di autenticazione MFA.
  • La risposta del metodo di autenticazione deve includere il valore AMR richiesto per l'elemento MFA selezionato.
  • Il valore AMR viene normalmente aggiunto nella trasformazione dei claim se l'identita restituita corrisponde all'identita attesa. Vedi l'esempio di trasformazione dei claim.
  • Se il valore AMR richiesto manca, il login fallisce.
  • Dopo una validazione riuscita, FoxIDs aggiunge AMR mfa alla sessione risultante.

Richiedere MFA dalle applicazioni

Le applicazioni possono richiedere MFA sia in OpenID Connect sia in SAML 2.0.

Se vengono richiesti valori ACR specifici ma questi non sono configurati sugli elementi MFA nel metodo di autenticazione login selezionato, l'autenticazione fallisce.

OpenID Connect

Usa acr_values:

  • MFA generale: acr_values=urn:foxids:mfa
  • MFA generale e metodo specifico: acr_values=urn:foxids:mfa urn:foxids:link

SAML 2.0

Usa RequestedAuthnContext.AuthnContextClassRef:

  • MFA generale: includi urn:foxids:mfa
  • MFA generale e metodo specifico: includi urn:foxids:mfa e valori specifici come urn:foxids:link

Comportamento della sessione

FoxIDs valida i valori AMR richiesti rispetto alla sessione di login corrente.

  • Nuovo login: la sessione viene creata dopo che tutti i requisiti sono soddisfatti.
  • Step-up login: una sessione esistente viene aggiornata dopo che tutti i requisiti MFA aggiuntivi sono soddisfatti.
  • Riutilizzo della sessione: se la sessione soddisfa gia i valori AMR richiesti, FoxIDs riutilizza la sessione e non richiede di nuovo il login.

Risoluzione dei problemi

Motivi comuni dei fallimenti MFA:

  • I valori ACR richiesti non sono configurati come elementi MFA nel metodo di autenticazione login.
  • Un metodo di autenticazione usato come MFA non restituisce il valore AMR richiesto.
  • Nessun elemento MFA configurato e attualmente disponibile per l'utente, ad esempio perche mancano dati di telefono o email per SMS o email.
La tua privacy

La tua privacy

Usiamo i cookie per migliorare la tua esperienza sui nostri siti. Fai clic sul pulsante 'Accetta tutti i cookie' per acconsentire all'uso dei cookie. Per rifiutare i cookie non essenziali, fai clic su 'Solo cookie necessari'.

Visita la nostra pagina di Informativa sulla privacy per saperne di più