Before you start
- アプリケーションに対してMFA の付与タイプを有効にします。詳細については、「付与タイプを更新する」をお読みください。
MFA APIアクセストークンを取得する
MFA APIを呼び出して登録を管理するためには、まずMFA API用のアクセストークンを取得する必要があります。 MFA APIを認証フローの一環として使用するには、「リソース所有者のパスワード付与とMFAで認証する」で説明されている手順に従ってください。認証要素を管理するためのユーザーインターフェイスをビルドする場合は、認証中だけでなく、いつでもMFA APIで使用できるトークンを取得する必要があります。 ユニバーサルログインを使用している場合は、MFA APIを呼び出す前に、https://{yourDomain}/mfa/オーディエンスを指定して認可エンドポイントへリダイレクトします。
ユニバーサルログイン
リソース所有者のパスワード付与(ROPG)を使用している場合には、以下の3つのオプションがあります。リソース所有者のパスワード付与
MFAオーディエンスのトークンを要求する際、以下のスコープを要求できます。- ログイン時に
https://{yourDomain}/mfa/オーディエンスを要求し、リフレッシュトークンを使用して後でリフレッシュします。 - Authenticatorをリストおよび削除する必要がある場合は、
https://{yourDomain}/mfa/オーディエンスを指定して、/oauth/tokenで再び認証することをユーザーに求めます。ユーザーは、MFAを完了しないと認証要素をリスト・削除できません。 - Authenticatorのリストのみを必要とする場合は、ユーザー名/パスワードで
/oauth/tokenを使用して再び認証することをユーザーに求めます。エンドポイントは、mfa_requiredエラー、およびAuthenticatorのリストに使用できるmfa_tokenを返します。ユーザーがAuthenticatorを確認するには、パスワードを提供する必要があります。
スコープ
ユーザーのAuthenticatorのリストを取得するには、MFA Authenticatorエンドポイントを呼び出します。
Authenticatorのリスト
応答にAuthenticatorの種類に関する情報が含まれています。activeがfalseのAuthenticatorを無視する必要があります。これらのAuthenticatorは、ユーザーによって確認されないため、MFAチャレンジには使用できません。
MFA APIは、Authenticatorの種類に応じて以下の登録をリストします。
Authenticatorを異なる要素で登録する方法については、以下のリンクを参照してください。
Authenticatorを登録する
また、ユーザーを登録するためにいつでもユニバーサルログインフローを使用できます。 関連するAuthenticatorを削除するには、AUTHENTICATOR_IDを適切なAuthenticator IDに置き換えるMFA AuthenticatorエンドポイントにDELETE要求を送信します。IDは、Authenticatorをリストした際に取得できます。
Authenticatorを削除する
Authenticatorのリストのためにmfa_tokenを使用した場合、Authenticatorを削除するために、ユーザーは、MFAを完了させて、https://{yourDomain}/mfa/のオーディエンスのアクセストークンを取得する必要があります。
Authenticatorが削除されると、204応答が返されます。
Authenticatorを削除する際、Authenticatorの種類に応じて以下のアクションが実行されます。
復旧コードを削除して新たに生成するには、Auth0のManagement APIのアクセストークンを取得し、の復旧コード再生成エンドポイントを使用します。