Authentification multifacteur

UserLock vous permet d'implémenter une authentification multifacteur (MFA) dans votre environnement, ce qui requiert qu'un utilisateur s'authentifie avec un facteur supplémentaire. UserLock prend en charge la MFA via des applications d'authentification utilisant des mots de passe à utilisation unique basés sur le temps et HMAC (TOTP et HOTP). Les TOTP sont largement acceptés et ne sont pas facilement contournés, comme l'authentification par SMS. Les exemples incluent Yubico Authenticator (application pour smartphone TOTP), Google Authenticator (application pour smartphone TOTP), LastPass Authenticator (application pour smartphone TOTP), Token2 (jeton de sécurité TOTP) et YubiKey (jeton de sécurité HOTP).

Une fois activé, vous avez différentes options pour assurer une bonne mise en œuvre de la MFA.

Connexions sur les systèmes d'exploitation Poste de travail ou serveur:

Dans les onglets "Connexions poste de travail" et "Connexions serveur", vous pouvez définir:

• Les types de connexion:
  • « Toutes »
  • « Distante » signifie toutes les sessions distantes (RDP, VPN, IIS ou SaaS) provenant de l'intérieur ou l'exterieur du réseau.
  • « Provenant de l'extérieur » signifie toutes les sessions distantes (RDP, VPN, IIS ou SaaS) provenant de l'exterieur du réseau.
    Par défaut les connexions « Provenant de l'extérieur » sont celles dont la machine source ne se situe pas dans les plages d'IP suivantes:
    
    • 10.0.0.0 - 10.255.255.255
    • 172.16.0.0 - 172.31.255.255
    • 192.168.0.0 - 192.168.255.255
    • fc00::/7
    • fe80::/10

  Pour changer les IP considérées comme provenant de "l'intérieur" ou de "l'exterieur", appuyer sur F7 dans la console UserLock afin d'acceder aux parametres avancés. Entrez les valeurs souhaitées dans “IPConsideredInside” et “IPConsideredOutside”

• La fréquence que vous voulez.
  • « Jamais » : la MFA ne sera jamais demandée.
  • « En se connectant pour la première fois à une adresse IP »
  • « A chaque connexion »
  • « A chaque 1ère connexion de la journée (une fois par adresse IP) »: la MFA sera demandée lors de la première connexion de la journée pour chaque adresse IP.
  • « Tous les <nombre> jour (s) »: identique au précédent, en remplaçant chaque jour par <nombre> jour (s).
  • « Après <nombre> jour (s) depuis la dernière connexion sur cette adresse IP »: la MFA sera demandée si l'utilisateur se connecte sur une adresse IP sur lequel il ne s’est pas connecté depuis <nombre> de jours.

Ignorer

L’option « Ignorer » permet à l'utilisateur final de cliquer sur « Ignorer » dans la boîte de dialogue de configuration MFA. Ceci est conçu pour permettre la flexibilité pendant le processus d'intégration. Le réglage recommandé est 2-3 semaines. La boite de dialogue MFA apparaitra à la fréquence définie dans les paramètres d’Authentification multifacteur. L’utilisateur aura la possibilité de l’ignorer à chaque fois, jusqu’à la date prévu par l’administrateur.

Si activé, l'utilisateur final peut le choisir au moment de la configuration:

Si cette option est choisie, l'utilisateur final doit sélectionner dans la boîte de dialogue ci-dessous la raison pour laquelle il a souhaité "Passer" la MFA:

• Comptes protégés
  • Type
  • Général
  • Authentification multifacteur
  • Notifications
  • Restrictions des postes clients
  • Restrictions horaires
  • Géolocalisation
  • Quotas de temps
  • Groupe
  • Gestion des priorités