Authentification multifactorielle
Introduction
L’authentification multifactorielle, ou MFA en abrégé, est un mécanisme de sécurité qui exige des utilisateurs qu’ils fournissent au moins deux facteurs de vérification indépendants pour s’identifier de manière unique lorsqu’ils accèdent à une application.
L’accès non autorisé n’est pas possible en raison de la méthode d’authentification supplémentaire ; le niveau de sécurité est donc considérablement accru.
MFA et Relution
Relution permet aux utilisateurs LDAP et locaux d’activer les méthodes d’authentification supplémentaires Email Token
et Authenticator App
dans le portail Relution en plus de spécifier le nom d’utilisateur et le mot de passe.
Avec la version 5.16, l’exigence de l’Office fédéral allemand pour la sécurité (BSI) pour les fournisseurs MDM d’implémenter la fourniture d’un niveau de sécurité supplémentaire est prise en compte.
Comment le MFA est-il configuré dans Relution ?
La nouvelle fonctionnalité MFA doit être activée par une organisation ou un administrateur système sous Settings -> Password Policies
avant qu’elle ne puisse être utilisée.
Dans le sous-menu Multi-Factor Authentication
, vous pouvez soit sélectionner Email Authentication
et déterminer la période de validité du code à usage unique à envoyer, soit sélectionner l’option Authenticator Apps
. Il est également possible d’activer les deux variantes en parallèle.
Forcer la connexion MFA
Le système de permission de Relution a été étendu avec la possibilité d’authentification multifactorielle. Il est possible de définir pour un rôle si la connexion MFA est requise ou non.
Si le rôle avec la connexion MFA activée est assigné à un utilisateur ou à un groupe, une connexion MFA est obligatoire lors de la connexion.
Si aucune méthode MFA n’a encore été configurée, l’utilisateur doit le faire lors de sa première connexion.
Méthodes d’authentification multi-facteurs
Jeton d’e-mail
Chaque utilisateur, indépendamment d’un administrateur, a la possibilité d’activer MFA individuellement dans le Relution Portal. Dans la barre de menu Profil
sélectionné, de nouveaux jetons pour l’authentification à deux facteurs peuvent être ajoutés sous MFA Tokens
. Si la première option E-mail
est sélectionnée, un nouvel onglet s’ouvre ensuite pour ajouter l’adresse e-mail.
Il est possible de stocker dans le système des adresses électroniques privées ou propres à l’utilisateur, ce qui est utile dans le contexte scolaire.
Après la saisie, un code de vérification à usage unique est envoyé à l’adresse électronique enregistrée. Ce code est valable pour la période définie par l’administrateur. Dès que le code correct, composé de n’importe quelle combinaison de chiffres, est saisi, l’authentification multifactorielle est configurée.
Il est possible de stocker un nombre quelconque de facteurs d’authentification multifactorielle dans le portail Relution. En plus de la variante e-mail, l’utilisation de diverses “Apps Authenticator” est supportée.
Si la deuxième variante Authenticator App
est sélectionnée dans la barre de menu Profil
comme nouveau MFA token
, une nouvelle fenêtre s’ouvre avec un code QR qui doit être scanné avec l’application d’authentification précédemment installée sur l’appareil final.
Il est également possible d’utiliser une clé de configuration pour la vérification.
Si plusieurs applications Authenticator sont utilisées sur plusieurs appareils en même temps, la validité d’au moins une application est vérifiée pour une connexion correcte. Lors de l’utilisation des deux méthodes d’authentification multifactorielle, c’est l’application Authenticator qui est principalement interrogée ; la variante de l’email stocké sert de sauvegarde.
Si seule l’application Authenticator est utilisée, il n’y a pas de solution de secours par email.
Supprimer les tokens MFA manuellement
Les tokens MFA peuvent être supprimés manuellement par l’utilisateur dans la barre de menu Profile
sous l’élément de menu MFA tokens
.
Si toutes les variantes MFA ont été supprimées manuellement, mais que l’application a été forcée par l’administrateur, l’authentification multifactorielle doit être stockée à nouveau la prochaine fois que l’utilisateur se connecte au Relution Portal.
Que se passe-t-il si le MFA est perdu ?
Si l’utilisateur n’a pas accès à l’email et/ou à l’application Authenticator alors que l’AMF est activée, la connexion au portail Relution n’est plus possible - il est obligatoire d’aller voir l’administrateur.
Sous Utilisateurs -> Utilisateurs
, l’Administrateur a l’option de supprimer manuellement le jeton MFA bloqué.