Multi-Faktor authentication (MFA): Plus de sécurité grâce à la double vérification
Qu'est-ce que l'authentification multifactorielle (MFA) et à quoi sert-elle ?
L'authentification multifactorielle, ou AMF en abrégé, est un mécanisme de sécurité qui exige des utilisateurs qu'ils saisissent au moins deux facteurs de vérification indépendants pour s'identifier de manière unique lorsqu'ils accèdent à une application. L'accès non autorisé n'est pas possible en raison de la méthode d'authentification supplémentaire ; le niveau de sécurité est donc considérablement accru.
AMF et Relution
Relution permet aux utilisateurs LDAP et locaux d'activer les méthodes d'authentification supplémentaires "E-Mail Token" et "Authenticator App" dans le portail Relution en plus du nom d'utilisateur et du mot de passe. La version 5.16 prend en compte l'exigence de l'Office fédéral allemand pour la sécurité (BSI pour les fournisseurs de MDM de mettre en œuvre la fourniture d'un niveau de sécurité supplémentaire.
Comment le AMF est-il configuré dans Relution ?
La nouvelle fonction AMF doit être activée par un administrateur de l'organisation ou du système sous "Paramètres" -> "Politique en matière de code de passe" avant de pouvoir être utilisée. Authentification multi-facteurs est pour plus de sécurité.
Dans le sous-menu "Authentification multifactorielle", vous pouvez soit sélectionner "Authentification par e-mail" et spécifier la période de validité du code à usage unique à envoyer, soit sélectionner l'option "Authenticator apps". Il est également possible d'activer les deux variantes en parallèle.
Forcer la connexion AMF
Le système Relution Permission a été complété par l'option "Authentification multifactorielle". Il est possible de définir pour un rôle si la connexion AMF est requise ou non. Si le rôle dont la connexion MFA est activée est attribué à un utilisateur ou à un groupe, la connexion MFA est obligatoire pour l'ouverture d'une session.
Si aucune méthode AMF n'a encore été mise en place, l'utilisateur:in doit le faire lors de sa première connexion.
Méthodes d'authentification multifactorielle
Jeton d'e-mail
Chaque utilisateur, indépendamment d'un administrateur, a la possibilité d'activer le AMF individuellement dans le portail de Relution. Dans la barre de menu "Profil", de nouveaux jetons pour l'authentification à deux facteurs peuvent être ajoutés sous "Jetons AMF". Si la première option "E-Mail" est sélectionnée, un nouvel onglet s'ouvre pour saisir l'adresse e-mail.
Les adresses électroniques privées ainsi que les adresses électroniques différentes de celles de l'utilisateur peuvent être stockées dans le système - ce qui est utile dans le contexte scolaire.
Après la saisie, un code de vérification unique sera envoyé à l'adresse électronique saisie. Ce code reste valable pendant la période spécifiée par l'administrateur. Dès que le code correct, composé de n'importe quelle combinaison numérique, est saisi, l'authentification multifactorielle est configurée.
Authenticator App(s)
Un nombre illimité de facteurs AMF peut être stocké dans le portail Relution. En plus de la variante e-mail, l'utilisation de plusieurs "Authenticator Apps" est supportée. Si la deuxième variante "Authenticator App" est sélectionnée comme nouveau "jeton AMF" dans la barre de menu "Profil", une nouvelle fenêtre s'ouvre avec un code QR qui doit être scanné avec l'application d'authentification précédemment installée sur l'appareil final. Il est également possible de revenir à une clé de configuration pour la vérification.
Si plusieurs applications Authenticator sont utilisées sur plusieurs appareils en même temps, la validité d'au moins une application est vérifiée pour garantir une connexion correcte.
Si les deux méthodes d'authentification multifactorielle sont utilisées, l'application Authenticator est principalement interrogée ; la variante de courriel stockée sert de sauvegarde.
Si seule l'application Authenticator est utilisée, il n'y a pas de retour de courrier électronique.
Suppression manuelle des jetons AMF
Les jetons AMF peuvent être supprimés manuellement par l'utilisateur dans la barre de menu "Profil" sous l'option de menu "Jetons AMF". Si toutes les variantes AMF ont été supprimées manuellement, mais que l'administrateur a forcé l'application, une authentification multi-facteurs doit à nouveau être enregistrée lors de la prochaine connexion au portail de la Relution.
Que se passe-t-il en cas de perte de l'AMF ?
Si l'utilisateur n'a pas accès à l'e-mail et/ou à l'application Authenticator lorsque le AMF est activé, il n'est plus possible de se connecter au portail Relution - le passage chez l'administrateur:in est obligatoire. Sous "Utilisateur" -> "Utilisateur", l'administrateur a la possibilité de supprimer manuellement le jeton AMF bloqué.
Dans la version 5.16, l'AMF est disponible pour la console Relution. Les applications seront ajoutées avec la nouvelle procédure et publiées prochainement.