Configurer MFA
Configurer les paramètres MFA dans Logto
Logto offre des options de configuration MFA flexibles pour répondre à différents besoins de sécurité. Vous pouvez configurer MFA au niveau global pour tous les utilisateurs ou l’activer par organisation pour les applications multi-locataires.
Configuration MFA globale
Suivez ces étapes pour activer les MFA dans le flux de connexion Logto des utilisateurs :
- Accédez à : Console > Authentification multi-facteurs (MFA).
- Activez les facteurs de vérification pris en charge pour vos utilisateurs.
- Facteurs principaux :
- OTP d’application d’authentification : La méthode la plus courante et largement acceptée. Utilisez un mot de passe à usage unique basé sur le temps (TOTP) généré par une application d’authentification comme Google Authenticator ou Authy.
- Passkeys (WebAuthn) : Une option de haute sécurité adaptée aux produits web prenant en charge la biométrie des appareils ou les clés de sécurité, etc., assurant une protection robuste.
- Facteurs de secours :
- Codes de secours : Sert d’option de secours lorsque les utilisateurs ne peuvent pas vérifier l’un des facteurs principaux mentionnés ci-dessus. Activer cette option réduit les frictions pour l’accès des utilisateurs.
- Facteurs principaux :
- Choisissez si vous souhaitez activer Exiger MFA :
- Activer : Les utilisateurs seront invités à configurer MFA lors du processus de connexion, ce qui ne peut pas être ignoré. Si l’utilisateur ne parvient pas à configurer MFA ou supprime ses paramètres MFA, il sera bloqué hors de son compte jusqu’à ce qu’il configure à nouveau MFA.
- Désactiver : Les utilisateurs peuvent ignorer le processus de configuration MFA lors de l’inscription. Ils pourront configurer MFA ultérieurement via la page de paramètres de compte en libre-service. En savoir plus sur la mise en œuvre d’une page de paramètres de compte utilisateur. Et continuez à choisir la politique pour l’invite de configuration MFA :
- Ne pas demander aux utilisateurs de configurer MFA : Les utilisateurs ne seront pas invités à configurer MFA lors de la connexion.
- Demander aux utilisateurs de configurer MFA lors de l’inscription : Les nouveaux utilisateurs seront invités à configurer MFA lors de l’inscription, et les utilisateurs existants verront l’invite lors de leur prochaine connexion. Les utilisateurs peuvent ignorer cette étape, et elle ne s’affichera plus.
- Demander aux utilisateurs de configurer MFA lors de leur connexion après inscription : Les nouveaux utilisateurs seront invités à configurer MFA lors de leur deuxième connexion après inscription, et les utilisateurs existants verront l’invite lors de leur prochaine connexion. Les utilisateurs peuvent ignorer cette étape, et elle ne s’affichera plus.

Configuration MFA au niveau de l’organisation
Pour les produits avec une architecture multi-locataire prenant en charge les Organisations, dans la plupart des cas, il n’est pas nécessaire d’exiger MFA pour tous les utilisateurs. À la place, MFA peut être activé par organisation, ce qui vous permet d’adapter les exigences selon les besoins de chaque client. Pour commencer, consultez Exiger MFA pour les membres d’une organisation.
Parcours utilisateur MFA
Parcours de configuration MFA
Une fois MFA activé, les utilisateurs seront invités à configurer MFA lors du processus de connexion et d’inscription. Les utilisateurs peuvent choisir d’ignorer ce processus de configuration uniquement si la politique « MFA contrôlé par l’utilisateur » est activée.
- Visiter la page de connexion ou d’inscription : L’utilisateur accède à la page de connexion ou d’inscription.
- Compléter la connexion ou l’inscription : L’utilisateur termine le processus de vérification d’identité dans le flux de connexion ou d’inscription.
- Configurer le facteur principal MFA : L’utilisateur est invité à configurer son facteur principal MFA (soit OTP d’application d’authentification, soit WebAuthn). Si plusieurs facteurs principaux sont activés, il peut choisir son option préférée. Si la politique « MFA contrôlé par l’utilisateur » est activée, il peut également ignorer cette étape en sélectionnant le bouton « Ignorer ».
- Configurer le facteur de secours MFA : Si les codes de secours sont activés, l’utilisateur est invité à configurer les codes de secours après avoir configuré avec succès son facteur d’authentification principal. Des codes de secours générés automatiquement seront affichés à l’utilisateur, qu’il pourra télécharger et stocker en toute sécurité. L’utilisateur doit confirmer manuellement les codes de secours pour terminer le processus de configuration MFA.

Parcours de vérification MFA
Les utilisateurs ayant configuré MFA seront invités à vérifier leur identité à l’aide de leurs facteurs MFA configurés lors de la connexion. Le facteur de vérification dépendra de la configuration MFA dans Logto et des paramètres utilisateur.
- Si un utilisateur n’a configuré qu’un seul facteur, il le vérifiera directement.
- Si un utilisateur a configuré plusieurs facteurs en tant que 2FA, il devra en choisir un à vérifier.
- Si tous les facteurs principaux activés ne sont pas disponibles pour l’utilisateur, et que le code de secours est activé, il pourra utiliser le code de secours à usage unique pour vérifier son identité.

Gestion MFA
Au-delà de la configuration initiale lors de la connexion / inscription, les utilisateurs peuvent gérer leurs paramètres MFA via un centre de compte en libre-service. Cela offre une flexibilité permettant aux utilisateurs de lier ou délier des facteurs MFA selon leurs besoins.
Créer un centre de compte
Vous pouvez créer un centre de compte complet en utilisant l’Account API de Logto, qui permet aux utilisateurs de :
- Lier de nouveaux facteurs MFA : Ajouter des applications d’authentification supplémentaires, des passkeys ou régénérer des codes de secours
- Délier des facteurs MFA existants : Supprimer les méthodes MFA qu’ils ne souhaitent plus utiliser
- Voir l’état actuel de MFA : Voir quels facteurs MFA sont actuellement configurés
Invites de configuration MFA après connexion
Pour les applications qui n’exigent pas MFA lors de l’inscription initiale, vous pouvez mettre en œuvre des invites intelligentes pour encourager la configuration MFA :
- Invites conditionnelles : Afficher des recommandations de configuration MFA en fonction du comportement de l’utilisateur ou de la valeur du compte
- Tableaux de bord de sécurité : Afficher des scores de sécurité qui s’améliorent lorsque MFA est activé
- Onboarding progressif : Présenter la configuration MFA dans le cadre d’un parcours d’amélioration progressive de la sécurité
En savoir plus sur la mise en œuvre de ces modèles avec l’Account API.