UserLock Documentation
UserLock Documentation
Vous êtes ici: Référence > Console > Administration du serveur > Authentification multifacteur

Authentification multifacteur

Cette restriction requiert qu'un utilisateur s'authentifie avec un facteur supplémentaire. UserLock prend en charge MFA via des applications d'authentification utilisant des mots de passe à utilisation unique basés sur le temps (TOTP). Les exemples incluent Google Authenticator et LastPass Authenticator. Les TOTP sont largement acceptés et sont plus sécurisés que d’autres options telles que l’authentification par SMS.

UserLock MFA peut être activée pour tout utilisateur, groupe ou unité organisationnelle de votre domaine pour toutes les connexions, tous les déverrouillages et toutes les reconnexions aux sessions interactives. Choisissez des paramètres granulaires pour définir votre stratégie MFA en fonction du type de système d'exploitation (Poste de travail ou Serveur), du type de connexion (Local ou Distant) et de la fréquence à laquelle la MFA est demandée (à chaque connexion, tous les N jours). Il y a également une option d'aide au processus d'intégration permettant aux utilisateurs d'ignorer la configuration MFA pendant un nombre de jours défini.

Les messages MFA affichés à l'utilisateur final sont personnalisables et vous pouvez activer un bouton « Demander de l'aide » dans les boîtes de dialogue affichées pour permettre à l'utilisateur final d'envoyer un courrier électronique (et par conséquent, des applications compatibles avec ce dernier, telles que Slack) et / ou faire apparaître les demandes d’aide sous forme de popup aux administrateurs UserLock responsables de l’implémentation de la MFA.

Si un utilisateur final ne peut pas se connecter, des actions réalisables en un clic par un administrateur sont disponibles dans la console UserLock pour désactiver temporairement la MFA ou pour réinitialiser la clé MFA d’un utilisateur spécifique.

De plus, les rapports ad-hoc vous permettent de suivre l'évolution dans le temps de l'utilisation de la MFA dans votre environnement: connexions pour lesquelles la MFA a été utilisée, connexions suspectes pour lesquelles la MFA a été annulée, raisons d’ignorer la MFA...

Un tableau de bord MFA a été ajouté dans la console UserLock afin de centraliser toutes ces nouvelles fonctionnalités.

Un cas d'utilisation sur UserLock MFA est disponible ici.

Comment fonctionne la MFA

Lorsque l'utilisateur enregistre un périphérique prenant en charge TOTP, une clé partagée unique est créée. Le périphérique et le serveur peuvent tous deux générer un mot de passe à utilisation unique basé sur le temps en traitant cette clé avec l'heure actuelle. Par convention, chaque TOTP dure 30 secondes. Un utilisateur se connectera à l'aide de son mot de passe habituel, puis entrera le mot de passe à usage unique actuel à partir de son appareil.

Prérequis

  • Service UserLock version 10.0 et ultérieure
  • Windows Vista et supérieur ou Windows Server 2008 et supérieur
  • Compatible uniquement avec l’agent Station version 10.0 et ultérieure
  • Disponible pour les sessions interactives uniquement
  • Une application d'authentification doit être installée sur le smartphone de l'utilisateur final
  • Réglage automatique de l'heure sur le serveur UserLock et les smartphones des utilisateurs finaux. Dans le cas d'une configuration manuelle, les codes générés par le serveur UserLock et les smartphones des utilisateurs finaux pourraient être erronés ce qui provoquerait des erreurs lors d'ouvertures de sessions.

Activer la MFA progressivement pour les utilisateurs, les groupes ou les unités organisationnelles:

Vous pouvez sélectionner des utilisateurs, des groupes ou des unités d'organisation pour lesquels vous souhaitez activer la MFA. Nous vous recommandons de choisir un plan de mise en œuvre permettant une intégration progressive pour les utilisateurs.

Par exemple, activez MFA pour un groupe Active Directory « RH »:

Fill the MFA code in the field in the dialog box

Lorsque vous activez la MFA pour des nouveaux utilisateurs, pensez à les informer de la manière dont ils seront impactés. (voir la section sur l'intégration des utilisateurs finaux).

Avancé

MFA pour les sessions VPN

Afin d'activer MFA pour les sessions VPN, veuillez vous référer au cas d'utilisation suivant: Comment appliquer la MFA au VPN.

Autre méthode MFA

Il existe une option pour autoriser ou forcer les utilisateurs à configurer une seconde méthode MFA dans le cas où leur première méthode n'est pas disponible. Par exemple, un utilisateur qui utilise un token USB peut choisir une application d'authentification TOTP comme moyen de secours. Vous pouvez accéder à cette option en ouvrant les paramètres avancés en appuyant sur F7 dans la console UserLock, et en configurant le paramètre "EnableMFAFallBack" avec Disabled, Enabled ou Force.

MFA pour les sessions IIS

Afin d'activer MFA pour les sessions IIS, veuillez vous référer au cas d'utilisation suivant: Comment appliquer MFA pour IIS.

MFA pour la SSO

Afin d'activer la MFA pour les sessions SaaS, veuillez vous référer au cas d'utilisation suivant: Comment appliquer la MFA pour la SSO.

Gestion du déverrouillage et de la reconnexion

Par défaut, toutes les restrictions UserLock (y compris la MFA) sont appliquées aux événements de connexion, de déverrouillage et de reconnexion. Si vous ne souhaitez pas que la MFA soit demandée pour les utilisateurs déverrouillant ou se reconnectant à une session, accédez aux paramètres avancés en appuyant sur F7 dans la console UserLock et définissez le paramètre «ApplyRestrictionsonUnlock» sur False. Ce paramètre s'appliquera à toutes les restrictions UserLock.

Limitations

Fonction MFA réussie

Si le code MFA est correctement saisi mais qu'une autre restriction UserLock refuse une connexion, nous ne pouvons pas voir si un code MFA a été correctement entré dans les rapports UserLock MFA (nous ne pouvons le voir que dans les journaux du service UserLock).

Fonction MFA sur le serveur Backup UserLock

Il n'y a pas de tableau de bord MFA sur les serveurs de Sauvegarde UserLock.

Fonction MFA dans la console Web

Il n'est pas possible d'administrer UserLock MFA via la console Web UserLock.