Administration : Gérer l'authentification à deux étapes
Un point clef de la sûreté des données J-Doc : L'authentification à deux étapes ou "à deux facteurs".
- Tandis que l'équipe J-Doc prend les mesures qui empêchent l'accès non souhaité d'un hacker tentant d'exploiter une éventuelle faille technique.
- C'est VOUS qui prenez les mesures pour empêcher l'accès non souhaité à cause d'identifiants dévoilés ou volés, du fait d'un accès sur un poste de travail ouvert, d'un portable volé mal protégé, ...
Le seul bon moyen de protection
Bien meux qu'un mot de passe renforcé, la seule bonne protection, c'est l'authentification à deux facteurs, dite TOTP livrée en stadard dans J-Doc. (Nous pouvons également mettre en place YUBIKEY en option. Ce sont des clefs USB physiques, consultez nous )
Pour se connecter, l'utilisateur saisit son mot de passe régulier plus un code à usage unique valable 30 secondes, qu'il affiche sur son smartphone par exemple.
L'activation de l'authentification à 2 facteurs par l'utilisateur est décrite sur cette page.
Volontaire ou obligatoire ?
Concrètement, si le TOTP est un choix volontaire de l'utilisateur, peut d'entre eux l'activeront.
J-Doc permet de rendre obligatoire l'authentification à deux facteurs pour certains groupes d'utilisateurs.
Par exemple vous pouvez rendre cet accès TOTP obligatoire
- Aux membres du groupe admin
- Aux personnes qui manipulent les données personnelles (RGPD)
- Aux personnes qui ont accès à des données sensibles (secrets industriels et commerciaux)
Paramétrer votre politique d'authentification à double facteurs
FAITES COMME ÇA
1/ Créez un Groupe d'utilisateurs nommé par exemple DOUBLEAUTH, ne mettez personne dedans.
2/ Dans la page Administration > Sécurité
2.1 Cochez la case "imposer l'authentification à deux facteurs",
2.2 Immédiatement ajoutez le groupe DOUBLEAUTH dans la zone "L'authentification à deux facteurs est forcée pour tous les membres des groupes suivants"
En mettant au moins un groupe vous évitez que tout le monde soit contraint de paramétré l'authentification à deux facteurs.
3/ Dès qu'une personne est affectée au groupe DOUBLEAUTH, la création des paramètres de double authentification lui est imposée lors de sa nouvelle connexion.
Vous avez tout intérêt à informer d'avance les personnes concernées et leur communiquer la page créer elles mêmes leurs jetons d'authentification et prendre les dispositions pour l'utiliser.
Si vous avez mis un groupe forcé à la doubel authentification, Il n'est pas obligatoire de mettre un ou des groupes dans la zone "L'authentification à deux facteurs n'est pas forcée pour tous les membres des groupes suivants"
En effet, les membres des autres groupes que DOUBLEAUTH n'ont pas de double autentification forcée par défaut.
N'imposez pas l'authentification à deux facteurs au groupe admin TANT que vous n'avez pas préparé et testé votre propre authentification à deux facteurs avec cette procédure.
Demandez aux autres utilisateurs du groupe admin de faire la même chose comme préalable.