Authentification multifactorielle

Introduction

L’authentification multifactorielle, ou MFA en abrégé, est un mécanisme de sécurité qui exige des utilisateurs qu’ils fournissent au moins deux facteurs de vérification indépendants pour s’identifier de manière unique lorsqu’ils accèdent à une application.

L’accès non autorisé n’est pas possible en raison de la méthode d’authentification supplémentaire ; le niveau de sécurité est donc considérablement accru.

MFA et Relution

Relution permet aux utilisateurs LDAP et locaux d’activer les méthodes d’authentification supplémentaires Email Token et Authenticator App dans le portail Relution en plus de spécifier le nom d’utilisateur et le mot de passe.

Avec la version 5.16, l’exigence de l’Office fédéral allemand pour la sécurité (BSI) pour les fournisseurs MDM d’implémenter la fourniture d’un niveau de sécurité supplémentaire est prise en compte.

Comment le MFA est-il configuré dans Relution ?

La nouvelle fonctionnalité MFA doit être activée par une organisation ou un administrateur système sous Settings -> Password Policies avant qu’elle ne puisse être utilisée.

Configuration MFA

Dans le sous-menu Multi-Factor Authentication, vous pouvez soit sélectionner Email Authentication et déterminer la période de validité du code à usage unique à envoyer, soit sélectionner l’option Authenticator Apps. Il est également possible d’activer les deux variantes en parallèle.

Forcer la connexion MFA

Le système de permission de Relution a été étendu avec la possibilité d’authentification multifactorielle. Il est possible de définir pour un rôle si la connexion MFA est requise ou non.

Si le rôle avec la connexion MFA activée est assigné à un utilisateur ou à un groupe, une connexion MFA est obligatoire lors de la connexion.

Forcer la connexion MFA

Si aucune méthode MFA n’a encore été configurée, l’utilisateur doit le faire lors de sa première connexion.

Configurer la méthode MFA

Méthodes d’authentification multi-facteurs

Jeton d’e-mail

Chaque utilisateur, indépendamment d’un administrateur, a la possibilité d’activer MFA individuellement dans le Relution Portal. Dans la barre de menu Profil sélectionné, de nouveaux jetons pour l’authentification à deux facteurs peuvent être ajoutés sous MFA Tokens. Si la première option E-mail est sélectionnée, un nouvel onglet s’ouvre ensuite pour ajouter l’adresse e-mail.

Activer le jeton e-mail

Il est possible de stocker dans le système des adresses électroniques privées ou propres à l’utilisateur, ce qui est utile dans le contexte scolaire.

Adresses e-mail MFA

Après la saisie, un code de vérification à usage unique est envoyé à l’adresse électronique enregistrée. Ce code est valable pour la période définie par l’administrateur. Dès que le code correct, composé de n’importe quelle combinaison de chiffres, est saisi, l’authentification multifactorielle est configurée.

Authenticator App

Il est possible de stocker un nombre quelconque de facteurs d’authentification multifactorielle dans le portail Relution. En plus de la variante e-mail, l’utilisation de diverses “Apps Authenticator” est supportée.

Si la deuxième variante Authenticator App est sélectionnée dans la barre de menu Profil comme nouveau MFA token, une nouvelle fenêtre s’ouvre avec un code QR qui doit être scanné avec l’application d’authentification précédemment installée sur l’appareil final.

Il est également possible d’utiliser une clé de configuration pour la vérification.

Apps d’authentification

Si plusieurs applications Authenticator sont utilisées sur plusieurs appareils en même temps, la validité d’au moins une application est vérifiée pour une connexion correcte. Lors de l’utilisation des deux méthodes d’authentification multifactorielle, c’est l’application Authenticator qui est principalement interrogée ; la variante de l’email stocké sert de sauvegarde.

Application Authenticator en cours d’utilisation

Si seule l’application Authenticator est utilisée, il n’y a pas de solution de secours par email.

Supprimer les tokens MFA manuellement

Les tokens MFA peuvent être supprimés manuellement par l’utilisateur dans la barre de menu Profile sous l’élément de menu MFA tokens.

Si toutes les variantes MFA ont été supprimées manuellement, mais que l’application a été forcée par l’administrateur, l’authentification multifactorielle doit être stockée à nouveau la prochaine fois que l’utilisateur se connecte au Relution Portal.

Que se passe-t-il si le MFA est perdu ?

Si l’utilisateur n’a pas accès à l’email et/ou à l’application Authenticator alors que l’AMF est activée, la connexion au portail Relution n’est plus possible - il est obligatoire d’aller voir l’administrateur.

Sous Utilisateurs -> Utilisateurs, l’Administrateur a l’option de supprimer manuellement le jeton MFA bloqué.