Tvåfaktors- och multifaktorautentisering (2FA/MFA)
FoxIDs stöder både ett enkelt tvåfaktorsläge och ett avancerat multifaktorsläge i inloggningsautentiseringsmetoden.
- Tvåfaktorsläge:
Advanced multi-factorär inaktiverat (standard). - Multifaktorsläge:
Advanced multi-factorär aktiverat.
Använd tvåfaktorsläge när en extra faktor räcker. Använd multifaktorsläge när du behöver en ordnad MFA-kedja eller vill använda autentiseringsmetoder som MFA-steg.
Begrepp
Tvåfaktorsautentisering (2FA) och multifaktorautentisering (MFA) lägger båda till ett eller flera verifieringssteg efter den primära inloggningen.
- 2FA: en primär inloggning plus en extra faktor.
- MFA: en primär inloggning plus en eller flera ordnade extra faktorer.
Stödda faktorer
FoxIDs stöder inbyggda faktorer och autentiseringsmetoder som MFA-poster.
| Faktor | Typ | AMR-värde |
|---|---|---|
| SMS-kod | Inbyggd | sms |
| E-postkod | Inbyggd | email |
| Authenticator app-kod | Inbyggd | otp |
| Recovery code | Inbyggd (authenticator app) | otp |
| Autentiseringsmetod (OIDC, SAML 2.0, TrackLink) | Konfigurerbar post | Konfigurerad AMR eller metod-/profilnamn om fältet är tomt |
Du kan använda valfri kompatibel authenticator app, till exempel Google Authenticator, Microsoft Authenticator, Authy och andra TOTP-appar.
När MFA krävs
MFA utlöses när något av följande gäller:
- Användaren har
Require multi-factor (2FA/MFA)aktiverat. - Inloggningsautentiseringsmetoden har
Require multi-factor (2FA/MFA)aktiverat. - Den anropande applikationen begär MFA med ACR
urn:foxids:mfa.
MFA-krav gäller i båda lägena. Om Advanced multi-factor är inaktiverat uppfylls kravet av det enkla tvåfaktorsflödet.
Om specifika ACR-värden begärs tillsammans med urn:foxids:mfa är det bara de matchande ACR-värdena som krävs.
Tvåfaktorsläge (Advanced multi-factor är inaktiverat)
I detta läge konfigureras inbyggda tvåfaktorsalternativ direkt:
- Authenticator app
- SMS
- E-post
Så här konfigurerar du tvåfaktorsläge:
- Öppna fliken Authentication.
- Klicka på inloggningsautentiseringsmetoden Login för att redigera den.
- Klicka på Show advanced.
- Gå till avsnittet Multi-factor.
- Låt
Advanced multi-factorvara inaktiverat och konfigurera alternativen för Authenticator app, SMS och E-post.
Namnet på authenticator appen som visas för användare kan konfigureras. Som standard används tenantnamnet.
SMS- och e-postfaktorer kräver användarens kontaktinformation. Det kan anges som användaridentifierare eller som claims (phone_number och email).
Val av tvåfaktortyp
I tvåfaktorsläge föredrar FoxIDs en redan registrerad authenticator app. Om ingen authenticator app är registrerad föredras SMS framför e-post när båda är tillgängliga.
| SMS tvåfaktor aktiverad och användaren har telefonnummer | E-post tvåfaktor aktiverad och användaren har e-post | Användaren har registrerat authenticator app | Möjliga tvåfaktortyper | Vald tvåfaktortyp |
|---|---|---|---|---|
| false | false | false | Konfiguration av authenticator app | Konfiguration av authenticator app |
| false | false | true | Authenticator app | Authenticator app |
| true | false | false | SMS med valfri konfiguration av authenticator app efter SMS-verifiering | SMS |
| true | false | true | SMS och authenticator app | Authenticator app |
| false | true | false | E-post med valfri konfiguration av authenticator app efter e-postverifiering | E-post |
| false | true | true | E-post och authenticator app | Authenticator app |
| true | true | false | SMS och e-post med valfri konfiguration av authenticator app efter SMS- eller e-postverifiering | SMS |
| true | true | true | SMS, e-post och authenticator app | Authenticator app |
Multifaktorsläge (Advanced multi-factor är aktiverat)
När Advanced multi-factor är aktiverat konfigureras MFA som en ordnad lista med upp till 5 MFA-poster.
Så här konfigurerar du multifaktorsläge:
- Öppna fliken Authentication.
- Klicka på inloggningsautentiseringsmetoden Login för att redigera den.
- Klicka på Show advanced.
- Gå till avsnittet Multi-factor.
- Aktivera
Advanced multi-factoroch konfigurera de ordnade MFA-posterna.
Stödda MFA-posttyper:
- Inbyggda:
- SMS
- E-post
- Authenticator app
- Autentiseringsmetod:
Konfigurationsregler:
- Inbyggda posttyper kan bara konfigureras en gång vardera.
- Poster av typen autentiseringsmetod kan konfigureras flera gånger, till exempel med olika profiler.
- Posterna körs i listordning.
- Du kan lägga till, ta bort och ordna om poster.
AMR- och ACR-beteende för MFA-poster
Varje slutförd MFA-post bidrar med AMR-claimvärden till sessionen.
- Inbyggda AMR-värden är fasta:
- SMS:
sms - E-post:
email - Authenticator app och recovery code:
otp
- SMS:
- MFA-post av typen autentiseringsmetod:
- En valfri anpassad AMR kan konfigureras.
- Om AMR är tom används autentiseringsmetodens namn eller profilnamn.
Begärda ACR-värden matchas mot MFA-posternas AMR-värden i följande format:
urn:foxids:<amr>- Exempel:
urn:foxids:link
urn:foxids:mfa är det generella MFA-kravet, och FoxIDs lägger till AMR mfa när MFA har slutförts.
Val och kedjning av MFA-poster
- Om specifika ACR-värden begärs måste en av de matchande MFA-posterna slutföras.
- Om bara generell MFA begärs kan vilken tillgänglig konfigurerad MFA-post som helst uppfylla kravet.
- Om mer än en kvalificerad MFA-post finns och FoxIDs inte kan välja automatiskt visas ett urvalsgränssnitt.
- Om en authenticator app är konfigurerad och redan registrerad föredrar FoxIDs den för generella MFA-begäranden.
- Om konfiguration av authenticator app väljs och ännu inte är registrerad kan konfigurationsflödet fortsätta efter ett valt steg för SMS, e-post eller autentiseringsmetod.
- Om bara authenticator app är konfigurerad kan konfigurationen starta direkt efter inloggning med första faktorn.
MFA-sida för autentiseringsmetod med valfri registrering av authenticator app och möjlighet att välja en annan MFA-post.
MFA-sida för SMS med valfri registrering av authenticator app och möjlighet att välja en annan MFA-post.
MFA-sida för e-post där authenticator appen konfigureras, med möjlighet att välja en annan MFA-post.
MFA-sida för authenticator app med möjlighet att välja en annan MFA-post.
Autentiseringsmetoder som används som MFA-poster
Autentiseringsmetoder (OIDC, SAML 2.0, TrackLink) kan användas som MFA-poster med följande regler:
- MFA-specifika ACR-värden vidarebefordras inte till begäran mot MFA-autentiseringsmetoden.
- Svaret från autentiseringsmetoden måste innehålla det AMR-värde som krävs för den valda MFA-posten.
- AMR-värdet läggs normalt till i claim transform om den returnerade identiteten matchar den förväntade identiteten. Se exemplet på claim transform.
- Om det AMR-värde som krävs saknas misslyckas inloggningen.
- Efter lyckad validering lägger FoxIDs till AMR
mfai den resulterande sessionen.
Begär MFA från applikationer
Applikationer kan begära MFA i både OpenID Connect och SAML 2.0.
Om specifika ACR-värden begärs men inte är konfigurerade på MFA-poster i den valda inloggningsautentiseringsmetoden misslyckas autentiseringen.
OpenID Connect
Använd acr_values:
- Generell MFA:
acr_values=urn:foxids:mfa - Generell MFA och specifik metod:
acr_values=urn:foxids:mfa urn:foxids:link
SAML 2.0
Använd RequestedAuthnContext.AuthnContextClassRef:
- Generell MFA: inkludera
urn:foxids:mfa - Generell MFA och specifik metod: inkludera
urn:foxids:mfaoch specifika värden somurn:foxids:link
Sessionsbeteende
FoxIDs validerar de AMR-värden som krävs mot den aktuella inloggningssessionen.
- Ny inloggning: sessionen skapas när alla krav är uppfyllda.
- Step-up login: en befintlig session uppdateras när alla ytterligare MFA-krav är uppfyllda.
- Återanvändning av session: om sessionen redan uppfyller de AMR-värden som krävs återanvänder FoxIDs sessionen och begär inte inloggning igen.
Felsökning
Vanliga orsaker till MFA-fel:
- Begärda ACR-värden är inte konfigurerade som MFA-poster i inloggningsautentiseringsmetoden.
- En autentiseringsmetod som används som MFA returnerar inte det AMR-värde som krävs.
- Ingen konfigurerad MFA-post är för närvarande tillgänglig för användaren, till exempel därför att telefon- eller e-postdata saknas för SMS eller e-post.