Forzar MFA en todos los usuarios de Authentik

Pequeña nota para dejar claro cómo obligar a que todos los usuarios de Authentik (ya existentes o nuevos) activen y usen un segundo factor de autenticación.

Requisitos previos

Authentik ya desplegado y funcionando.
Acceso como administrador a la interfaz web.

Pasos

1. Editar el stage de MFA

En Flows and Stages → Stages, buscar default-authentication-mfa-validation.

En el campo Not configured action, cambiarlo a:
- Force the user to configure an authenticator.
Elegir la etapa de configuración que corresponda (ejemplo: default-authenticator-totp-setup).

Con esto, cualquier usuario sin MFA configurado será obligado a activarlo.

2. Insertar el stage en el flow de autenticación

Ir a Flows → default-authentication-flow.
En la pestaña Bind existing stage, añadir default-authentication-mfa-validation.
Colocarlo en el orden adecuado:
- Después de default-authentication-identification (orden 10).
- Antes de default-authentication-password (orden 20).
- Ejemplo: asignar 15 a default-authentication-mfa-validation.

Resultado

Con esa configuración, cualquier usuario que intente iniciar sesión sin MFA configurado se verá obligado a hacerlo antes de poder acceder.

Actualizar el fondo de todos los flows en Authentik (vía SQL)

Cloudflare Turnstile en Authentik - Captcha previo a la autenticación

Creación de aplicaciones, providers y outposts en Authentik

Directiva de Authentik para Caddy

Evitar MFA en casa con Authentik

Forzar MFA en todos los usuarios de Authentik

Login sin contraseña en Authentik usando WebAuthn

Añadir una llave física en Gitea

Personalización de Gitea: Temas y otros ajustes

YubiKey en Gitea: Error al registrar llave

RustDesk, conexión no cifrada

Políticas que uso hoy en día en Wazuh

Forzar MFA en todos los usuarios de Authentik

Requisitos previos

Pasos

1. Editar el stage de MFA

2. Insertar el stage en el flow de autenticación

Resultado