Administration : Gérer l'authentification à deux étapes
Un point clef de la sûreté des données J-Doc : L'authentification à deux étapes ou "à deux facteurs".
- Tandis que l'équipe J-Doc prend les mesures qui empêchent l'accès non souhaité d'un hacker tentant d'exploiter une éventuelle faille technique.
- C'est VOUS qui prenez les mesures pour empêcher l'accès non souhaité à cause d'identifiants dévoilés ou volés, du fait d'un accès sur un poste de travail ouvert, d'un portable volé mal protégé, ...
Le plus haut moyen de protection pour les utilisateurs enregistrés dans J-Doc
Bien mieux qu'un mot de passe fort, la plus haute protection est l'authentification à deux facteurs, dite TOTP, livrée en standard dans J-Doc.
(Nous pouvons également mettre en place YUBIKEY en option. Ce sont des clefs USB physiques, consultez nous )
Pour se connecter, l'utilisateur qui bénéficie d'une double authentification saisit nom d'utilisateur et son mot de passe régulier, alors un code à usage unique, valable 30 secondes, lui est demandé.
Il doit générer ce code avec une appli, sur son smartphone par exemple.
L'activation de l'authentification à 2 facteurs par l'utilisateur est décrite sur cette page.
Volontaire ou obligatoire ?
Concrètement, si le TOTP est un choix volontaire de l'utilisateur, peut d'entre eux l'activeront.
J-Doc permet de rendre obligatoire l'authentification à deux facteurs pour certains groupes d'utilisateurs.
Par exemple vous pouvez rendre cet accès TOTP obligatoire
- Aux membres du groupe admin
- Aux personnes qui manipulent les données personnelles (RGPD)
- Aux personnes qui ont accès à des données sensibles (secrets industriels et commerciaux)
Le paramétrage de la double authentification TOTP est forcément fait par chacun des utilisateurs
Ce n'est pas un administrateur qui fait le paramétrage de la double authentification d'un utilisateur.
- Chaque utilisateur peux décider et choisir de renforcer l'accès de son compte avec la double authentification.
- Vous pouvez obliger certains utilisateurs à paramétrer eux-même la double authentification TOTP de leur compte.
Dans tous les cas, vous devez envoyer aux utilisateurs concernés la procédure qui se trouve sur cette page.
Paramétrer votre politique d'authentification à double facteurs
FAITES COMME ÇA
1/ Créez un Groupe d'utilisateurs nommé par exemple DOUBLEAUTH, ne mettez personne dedans.
2/ Dans la page Administration > Sécurité
2.1 Cochez la case "imposer l'authentification à deux facteurs",
2.2 Immédiatement ajoutez le groupe DOUBLEAUTH dans la zone "L'authentification à deux facteurs est forcée pour tous les membres des groupes suivants"
En mettant au moins un groupe vous évitez que tout le monde soit contraint de paramétré l'authentification à deux facteurs.
3/ Dès qu'une personne est affectée au groupe DOUBLEAUTH, la création des paramètres de double authentification lui est imposée lors de sa nouvelle connexion.
Vous devez informer d'avance les personnes concernées et à leur communiquer la page pour créer elles-mêmes leurs jetons d'authentification et prendre les dispositions pour l'utiliser.
Si vous avez mis un groupe forcé à la double authentification, Il n'est pas obligatoire de mettre un ou des groupes dans la zone "L'authentification à deux facteurs n'est pas forcée pour tous les membres des groupes suivants"
En effet, les membres des autres groupes que DOUBLEAUTH n'ont pas de double autentification forcée par défaut.
N'imposez pas l'authentification à deux facteurs au groupe admin TANT que vous n'avez pas préparé et testé votre propre authentification à deux facteurs avec cette procédure.
Demandez aux autres utilisateurs du groupe admin de faire la même chose comme préalable.
Quelqu'un a perdu sa clef de double authentification ?
Anticipez en connaissant d'avance les conséquences avec la procédure ici