UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Console > Administration du serveur > Authentification multifacteur

Authentification multifacteur

Cette restriction requiert qu'un utilisateur s'authentifie avec un facteur supplémentaire. UserLock prend en charge MFA via des applications d'authentification utilisant des mots de passe à utilisation unique basés sur le temps (TOTP). Les exemples incluent Google Authenticator et LastPass Authenticator. Les TOTP sont largement acceptés et sont plus sécurisés que d’autres options telles que l’authentification par SMS.

UserLock MFA peut être activée pour tout utilisateur, groupe ou unité organisationnelle de votre domaine. Choisissez des paramètres granulaires pour définir votre stratégie MFA en fonction du type de système d'exploitation (Poste de travail ou Serveur), du type de connexion (Local ou Distant) et de la fréquence à laquelle la MFA est demandée (à chaque connexion, tous les N jours). Il y a également une option d'aide au processus d'intégration permettant aux utilisateurs d'ignorer la configuration MFA pendant un nombre de jours défini.

Les messages MFA affichés à l'utilisateur final sont personnalisables et vous pouvez activer un bouton « Demander de l'aide » dans les boîtes de dialogue affichées pour permettre à l'utilisateur final d'envoyer un courrier électronique (et par conséquent, des applications compatibles avec ce dernier, telles que Slack) et / ou faire apparaître les demandes d’aide sous forme de popup aux administrateurs UserLock responsables de l’implémentation de la MFA.

Si un utilisateur final ne peut pas se connecter, des actions réalisables en un clic par un administrateur sont disponibles dans la console UserLock pour désactiver temporairement la MFA ou pour réinitialiser la clé MFA d’un utilisateur spécifique.

De plus, les rapports ad-hoc vous permettent de suivre l'évolution dans le temps de l'utilisation de la MFA dans votre environnement: connexions pour lesquelles la MFA a été utilisée, connexions suspectes pour lesquelles la MFA a été annulée, raisons d’ignorer la MFA...

Un tableau de bord MFA a été ajouté dans la console UserLock afin de centraliser toutes ces nouvelles fonctionnalités.

Un cas d'utilisation sur UserLock MFA est disponible ici.

Comment fonctionne la MFA

Lorsque l'utilisateur enregistre un périphérique prenant en charge TOTP, une clé partagée unique est créée. Le périphérique et le serveur peuvent tous deux générer un mot de passe à utilisation unique basé sur le temps en traitant cette clé avec l'heure actuelle. Par convention, chaque TOTP dure 30 secondes. Un utilisateur se connectera à l'aide de son mot de passe habituel, puis entrera le mot de passe à usage unique actuel à partir de son appareil.

Prérequis

  • Service UserLock version 10.0 et ultérieure
  • Windows Vista et supérieur ou Windows Server 2008 et supérieur
  • Compatible uniquement avec l’agent Station version 10.0 et ultérieure
  • Disponible pour les sessions interactives uniquement
  • Une application d'authentification doit être installée sur le smartphone de l'utilisateur final

Notez que l'heure doit être correcte et automatiquement synchronisée sur le serveur UserLock et sur les smartphones des utilisateurs finaux.

Intégration pour les utilisateurs finaux

UserLock intègre des fonctionnalités permettant de faciliter le processus d'intégration et de formation permettant aux utilisateurs de configurer MFA sur leur smartphone.

Nous vous recommandons de créer un document orienté utilisateur que vous enverrez à tous les utilisateurs concernés par la MFA. Vous trouverez ici un exemple de document de ce type.

Pour aider votre organisation ou vos utilisateurs à choisir une application, voici les plus largement utilisées:

  • Google Authenticator
  • Microsoft Authenticator
  • LastPass Authenticator
    • C'est la solution la plus sécurisée, car même si le téléphone n'est pas verrouillé, l'application se verrouille automatiquement et vous devez fournir les informations d'identification pour le déverrouiller afin d'obtenir le code MFA.
  • 2FA Authenticator
  • Duo
  • Authy

Indépendamment de l'application que vous choisissiez, assurez-vous que la date et l'heure du smartphone des utilisateurs finaux est correcte (il est recommandé de régler la date et l'heure automatiquement), sinon les codes générés par l'application ne peuvent pas être validés.

Pour la première connexion MFA d'un utilisateur, cet utilisateur peut avoir besoin d'aide pour la configuration.

  1. Une fois que la MFA est activée pour un compte d'utilisateur, lors de sa prochaine connexion, une boîte de dialogue avec un QR code sera affichée:

    A dialog box with a QR code will be displayed
    • Remarques:
      • Le texte situé juste sous "Configuration de l’authentification multifacteur" est personnalisable dans l'onglet « Paramètres ».
      • Les autres textes seront affichés en fonction de la langue du système d'exploitation de l'ordinateur actuellement connecté (l'anglais est la langue par défaut, le français ou l'espagnol).
      • Le bouton « Ignorer (N jours restants) » est optionnel. Il est désactivé par défaut. Vous pouvez l'activer dans la configuration des comptes protégés liés à cet utilisateur.
      • Le bouton « Demander de l'aide » est optionnel. Il est désactivé par défaut. Vous pouvez l'activer dans le tableau de bord MFA, onglet « Paramètres ».
  2. Lorsque cette boîte de dialogue apparaît, l'utilisateur doit ouvrir l'application d'authentication sur son smartphone, puis scanner le code-barres. Par exemple avec Google Authenticator:

    Google Authenticator
  3. Cliquez sur « Commencer »

  4. Dans l'étape « Ajouter un compte », choisissez « Scanner un code-barres » (ou « Saisir une clé fournie » si vous préférez):

    Add an account
  5. Le code MFA est maintenant affiché:

    The MFA code is now displayed
  6. Remplissez le code MFA dans le champ de la boîte de dialogue, puis cliquez sur « Valider et continuer ».

    Il est recommandé d’informer les utilisateurs de la fréquence à laquelle ils seront soumis à la MFA (par exemple à chaque connexion, à la première connexion du jour, etc...).
    Une fois correctement configuré, la boîte de dialogue suivante sera proposée à l'utilisateur pour toutes les connexions nécessitant MFA.

    Fill the MFA code in the field in the dialog box
  7. L'utilisateur pourra récupérer le code à partir de l'application d’authentification.

    Fill the MFA code in the field in the dialog box

Activer la MFA progressivement pour les utilisateurs, les groupes ou les unités organisationnelles:

Vous pouvez sélectionner des utilisateurs, des groupes ou des unités d'organisation pour lesquels vous souhaitez activer la MFA. Nous vous recommandons de choisir un plan de mise en œuvre permettant une intégration progressive pour les utilisateurs.

Par exemple, activez MFA pour un groupe Active Directory « RH »:

Fill the MFA code in the field in the dialog box

Lorsque vous activez la MFA pour des nouveaux utilisateurs, pensez à les informer de la manière dont ils seront impactés. (voir la section sur l'intégration des utilisateurs finaux).

Avancé

Pourquoi n'y a-t-il pas de codes de récupération pour l'authentification multifacteur?

En règle générale, les codes de récupération de l'authentification multifacteur sont utilisés sur les applications SaaS, administrées par des services Web et pour lesquels un utilisateur final ne peut pas contacter un administrateur sur site.

Dans UserLock MFA, l’authentification est surveillée par des administrateurs sur site qui peuvent être présents pour répondre aux appels d’assistance concernant l’authentification.

Limitations

Fonction MFA réussie

Si le code MFA est correctement saisi mais qu'une autre restriction UserLock refuse une connexion, nous ne pouvons pas voir si un code MFA a été correctement entré dans les rapports UserLock MFA (nous ne pouvons le voir que dans les journaux du service UserLock).

Fonction MFA sur le serveur Backup UserLock

Il n'y a pas de tableau de bord MFA sur les serveurs de Sauvegarde UserLock.

Fonction MFA dans la console Web

Il n'est pas possible d'administrer UserLock MFA via la console Web UserLock.

Fonction MFA pour les événements de déverrouillage

Il n'est pas possible d'authentifier les utilisateurs avec UserLock MFA pour les événements de déverrouillage.