Twee-factor en multi-factor authenticatie (2FA/MFA)

FoxIDs ondersteunt zowel een eenvoudige twee-factor modus als een geavanceerde multi-factor modus in de login-authenticatiemethode.

  • Twee-factor modus: Advanced multi-factor is uitgeschakeld (standaard).
  • Multi-factor modus: Advanced multi-factor is ingeschakeld.

Gebruik de twee-factor modus wanneer één extra factor voldoende is. Gebruik de multi-factor modus wanneer u een geordende MFA-keten nodig hebt of authenticatiemethoden als MFA-stappen wilt gebruiken.

Concepten

Twee-factor authenticatie (2FA) en multi-factor authenticatie (MFA) voegen beide een of meer verificatiestappen toe na de primaire aanmelding.

  • 2FA: een primaire aanmelding plus één extra factor.
  • MFA: een primaire aanmelding plus één of meer geordende extra factoren.

Ondersteunde factoren

FoxIDs ondersteunt ingebouwde factoren en authenticatiemethoden als MFA-items.

Factor Type AMR-waarde
SMS-code Ingebouwd sms
E-mailcode Ingebouwd email
Authenticator app-code Ingebouwd otp
Recovery code Ingebouwd (authenticator app) otp
Authenticatiemethode (OIDC, SAML 2.0, TrackLink) Configureerbaar item Geconfigureerde AMR of methode-/profielnaam als het veld leeg is

U kunt elke compatibele authenticator app gebruiken, bijvoorbeeld Google Authenticator, Microsoft Authenticator, Authy en andere TOTP-apps.

Wanneer MFA vereist is

MFA wordt geactiveerd wanneer een van de volgende situaties geldt:

  • De gebruiker heeft Require multi-factor (2FA/MFA) ingeschakeld.
  • De login-authenticatiemethode heeft Require multi-factor (2FA/MFA) ingeschakeld.
  • De aanroepende applicatie vraagt MFA aan met ACR urn:foxids:mfa.

MFA-vereisten gelden in beide modi. Als Advanced multi-factor is uitgeschakeld, wordt aan de vereiste voldaan door de eenvoudige twee-factor flow.

Als specifieke ACR-waarden samen met urn:foxids:mfa worden aangevraagd, zijn alleen de overeenkomende ACR-waarden vereist.

Twee-factor modus (Advanced multi-factor is uitgeschakeld)

In deze modus worden ingebouwde twee-factor opties direct geconfigureerd:

  • Authenticator app
  • SMS
  • E-mail

Zo configureert u de twee-factor modus:

  1. Open het tabblad Authentication.
  2. Klik op de login-authenticatiemethode Login om deze te bewerken.
  3. Klik op Show advanced.
  4. Ga naar de sectie Multi-factor.
  5. Laat Advanced multi-factor uitgeschakeld en configureer de opties voor Authenticator app, SMS en E-mail.

De naam van de authenticator app die aan gebruikers wordt getoond kan worden geconfigureerd. Standaard wordt de tenantnaam gebruikt.

Configure simple two-factor options in login authentication method

SMS- en e-mailfactoren vereisen contactinformatie van de gebruiker. Dit kan worden aangeleverd als gebruikersidentificatoren of als claims (phone_number en email).

Selectie van het twee-factor type

In de twee-factor modus geeft FoxIDs de voorkeur aan een reeds geregistreerde authenticator app. Als geen authenticator app is geregistreerd, heeft SMS voorrang op e-mail wanneer beide beschikbaar zijn.

SMS twee-factor ingeschakeld en gebruiker heeft telefoonnummer E-mail twee-factor ingeschakeld en gebruiker heeft e-mail Gebruiker heeft een authenticator app geregistreerd Mogelijke twee-factor typen Geselecteerd twee-factor type
false false false Instellen van authenticator app Instellen van authenticator app
false false true Authenticator app Authenticator app
true false false SMS met optionele configuratie van authenticator app na SMS-verificatie SMS
true false true SMS en authenticator app Authenticator app
false true false E-mail met optionele configuratie van authenticator app na e-mailverificatie E-mail
false true true E-mail en authenticator app Authenticator app
true true false SMS en e-mail met optionele configuratie van authenticator app na SMS- of e-mailverificatie SMS
true true true SMS, e-mail en authenticator app Authenticator app

Multi-factor modus (Advanced multi-factor is ingeschakeld)

Wanneer Advanced multi-factor is ingeschakeld, wordt MFA geconfigureerd als een geordende lijst van maximaal 5 MFA-items.

Zo configureert u de multi-factor modus:

  1. Open het tabblad Authentication.
  2. Klik op de login-authenticatiemethode Login om deze te bewerken.
  3. Klik op Show advanced.
  4. Ga naar de sectie Multi-factor.
  5. Schakel Advanced multi-factor in en configureer de geordende MFA-items.

Ondersteunde MFA-itemtypen:

Configuratieregels:

  • Ingebouwde itemtypen kunnen elk slechts één keer worden geconfigureerd.
  • Items van het type authenticatiemethode kunnen meerdere keren worden geconfigureerd, bijvoorbeeld met verschillende profielen.
  • Items worden in lijstvolgorde uitgevoerd.
  • U kunt items toevoegen, verwijderen en opnieuw ordenen.

Configure advanced multi-factor item list with add/remove/reorder

AMR- en ACR-gedrag van MFA-items

Elk voltooid MFA-item draagt AMR-claimwaarden bij aan de sessie.

  • Ingebouwde AMR-waarden zijn vast:
    • SMS: sms
    • E-mail: email
    • Authenticator app en recovery code: otp
  • MFA-item van het type authenticatiemethode:
    • Er kan een optionele aangepaste AMR worden geconfigureerd.
    • Als de AMR leeg is, wordt de naam van de authenticatiemethode of profielnaam gebruikt.

Aangevraagde ACR-waarden worden met de AMR-waarden van MFA-items vergeleken in dit formaat:

  • urn:foxids:<amr>
  • Voorbeeld: urn:foxids:link

urn:foxids:mfa is de algemene MFA-vereiste en FoxIDs voegt AMR mfa toe wanneer MFA is voltooid.

Selectie en chaining van MFA-items

  • Als specifieke ACR-waarden worden aangevraagd, moet een van de overeenkomende MFA-items worden voltooid.
  • Als alleen algemene MFA wordt aangevraagd, kan elk beschikbaar geconfigureerd MFA-item aan de vereiste voldoen.
  • Als meer dan één geschikt MFA-item bestaat en FoxIDs niet automatisch kan selecteren, wordt een selectie-interface getoond.
  • Als een authenticator app is geconfigureerd en al is geregistreerd, geeft FoxIDs daaraan de voorkeur bij algemene MFA-aanvragen.
  • Als het instellen van een authenticator app wordt gekozen en deze nog niet is geregistreerd, kan de setup-flow doorgaan na een geselecteerde stap voor SMS, e-mail of authenticatiemethode.
  • Als alleen de authenticator app is geconfigureerd, kan de setup direct starten na aanmelding met de eerste factor.

MFA-pagina voor authenticatiemethode met optionele registratie van een authenticator app en de mogelijkheid om een ander MFA-item te kiezen. MFA authentication method selection page

MFA-SMS-pagina met optionele registratie van een authenticator app en de mogelijkheid om een ander MFA-item te kiezen. MFA SMS page

MFA-e-mailpagina waar de authenticator app wordt ingesteld, met de mogelijkheid om een ander MFA-item te kiezen. MFA Email page

MFA-pagina voor authenticator app met de mogelijkheid om een ander MFA-item te kiezen. MFA authenticator app page

Authenticatiemethoden gebruikt als MFA-items

Authenticatiemethoden (OIDC, SAML 2.0, TrackLink) kunnen als MFA-items worden gebruikt met de volgende regels:

  • MFA-specifieke ACR-waarden worden niet doorgestuurd naar het verzoek aan de MFA-authenticatiemethode.
  • Het antwoord van de authenticatiemethode moet de vereiste AMR-waarde bevatten voor het geselecteerde MFA-item.
  • De AMR-waarde wordt normaal gesproken toegevoegd in de claim transform als de teruggegeven identiteit overeenkomt met de verwachte identiteit. Zie het voorbeeld van claim transform.
  • Als de vereiste AMR-waarde ontbreekt, mislukt de aanmelding.
  • Na succesvolle validatie voegt FoxIDs AMR mfa toe aan de resulterende sessie.

MFA aanvragen vanuit applicaties

Applicaties kunnen MFA aanvragen in zowel OpenID Connect als SAML 2.0.

Als specifieke ACR-waarden worden aangevraagd maar niet zijn geconfigureerd op MFA-items in de geselecteerde login-authenticatiemethode, mislukt de authenticatie.

OpenID Connect

Gebruik acr_values:

  • Algemene MFA: acr_values=urn:foxids:mfa
  • Algemene MFA en specifieke methode: acr_values=urn:foxids:mfa urn:foxids:link

SAML 2.0

Gebruik RequestedAuthnContext.AuthnContextClassRef:

  • Algemene MFA: neem urn:foxids:mfa op
  • Algemene MFA en specifieke methode: neem urn:foxids:mfa en specifieke waarden zoals urn:foxids:link op

Sessiegedrag

FoxIDs valideert vereiste AMR-waarden tegen de huidige aanmeldsessie.

  • Nieuwe aanmelding: de sessie wordt gemaakt nadat aan alle vereisten is voldaan.
  • Step-up login: een bestaande sessie wordt bijgewerkt nadat aan alle extra MFA-vereisten is voldaan.
  • Hergebruik van sessie: als de sessie al voldoet aan de vereiste AMR-waarden, hergebruikt FoxIDs de sessie en wordt niet opnieuw om aanmelding gevraagd.

Probleemoplossing

Veelvoorkomende oorzaken van MFA-fouten:

  • Aangevraagde ACR-waarden zijn niet geconfigureerd als MFA-items in de login-authenticatiemethode.
  • Een authenticatiemethode die als MFA wordt gebruikt retourneert niet de vereiste AMR-waarde.
  • Er is momenteel geen geconfigureerd MFA-item beschikbaar voor de gebruiker, bijvoorbeeld omdat telefoon- of e-mailgegevens ontbreken voor SMS of e-mail.

Uw privacy

We gebruiken cookies om uw ervaring op onze websites te verbeteren. Klik op de knop 'Alle cookies accepteren' om akkoord te gaan met het gebruik van cookies. Om niet-noodzakelijke cookies te weigeren, klikt u op 'Alleen noodzakelijke cookies'.

Bezoek onze privacyverklaring voor meer informatie