Authentification à deux facteurs dans OpManager

Authentification à deux facteurs

L’authentification à deux facteurs (TFA) fournit un niveau d’authentification supplémentaire et améliore la sécurité en exigeant que l’utilisateur fournisse un mot de passe unique à usage unique basé sur le temps (TOTP) généré via des applications d’authentification, ou un mot de passe à usage unique (OTP) envoyé à l’adresse e-mail configurée de l’utilisateur. La TFA renforce l’authentification et empêche les accès non autorisés.

• Étapes pour configurer la TFA dans OpManager
• Étapes de dépannage
• Étapes pour exécuter le script
• Erreurs possibles et résolution
   
  • Accès refusé. Veuillez exécuter ce script avec les privilèges d’administrateur.
  • Server est actuellement en cours d’exécution. Veuillez arrêter le Server pour exécuter ce script.
  • Mot de passe de l’utilisateur super-admin invalide.

Étapes pour configurer la TFA dans OpManager

1. Accédez à Paramètres - > Paramètres généraux -> Authentification -> Authentification à deux facteurs.
2. Sélectionnez l’option "Activer l’authentification à deux facteurs (TFA)".

3. Choisissez le mode d’authentification souhaité : Applications d’authentification (TOTP via des applications d’authentification, notamment Google Authenticator, Microsoft Authenticator, Duo, etc.) ou Authentification par e-mail (OTP envoyé à l’adresse e-mail configurée de l’utilisateur). 
    

   Remarque : Les paramètres du serveur de messagerie doivent être configurés pour le mode d’authentification par e-mail.
4. Entrez le nombre de jours pendant lesquels vous souhaitez autoriser le navigateur de l’utilisateur comme navigateur de confiance. Autrement dit, l’utilisateur ne sera pas tenu de fournir un TOTP/OTP lors de la connexion sur ce navigateur pendant le nombre de jours spécifié. Cela s’appliquera si l’utilisateur coche la case permettant de faire confiance au navigateur lors de la connexion.

5. Cliquez sur 'Enregistrer'.
    

   Remarque : Si 'Applications d’authentification' est choisi comme mode d’authentification, tous les utilisateurs seront invités à configurer leur application d’authentification lors de leur prochaine connexion.
   • 
   • 
   •  

   ⟨⟩

   Si les applications d’authentification sont le mode d’authentification choisi :

6. Lors de la prochaine connexion, installez et suivez les étapes affichées à l’écran pour configurer l’application d’authentification souhaitée sur votre appareil mobile.

7. Saisissez l’OTP généré dans l’application d’authentification/l’e-mail pour vous connecter.
    

   • 
   •  

   ⟨⟩

Étapes de dépannage

• Dans le cas d’une authentification basée sur TOTP,
  • Comme le TOTP est basé sur le temps, l’heure de l’appareil mobile configuré doit être synchronisée avec l’heure du Server.
  • Dans le cas où un nouveau secret TOTP est requis en raison de la perte de l’appareil mobile configuré ou pour toute autre raison similaire, l’utilisateur administrateur peut accéder à Paramètres -> Paramètres généraux -> Gestion des utilisateurs et cliquer sur l’icône 'Réinitialiser le secret TOTP' sous 'Actions' pour l’utilisateur concerné.
  • Si l’utilisateur 'admin' par défaut ne peut pas se connecter au produit et a perdu l’appareil mobile configuré, exécutez le script suivant, "ResetSuperAdminTOTP.bat/sh" pour réinitialiser le mot de passe du super administrateur.
• Dans le cas d’une authentification basée sur l’e-mail,
  • Lorsque le mode d’authentification choisi est 'E-mail', l’OTP sera envoyé par e-mail à l’adresse e-mail configurée de l’utilisateur. Veuillez donc vous assurer que vous avez configuré la bonne adresse e-mail. L’utilisateur administrateur a les privilèges nécessaires pour configurer la bonne adresse e-mail si celle configurée n’était pas correcte.
  • Si les utilisateurs ne parviennent pas à recevoir l’OTP par e-mail en raison d’une modification de la configuration du serveur de messagerie, exécutez le script suivant, "DisableTFA.bat/sh" pour désactiver temporairement la TFA.