Authentification à deux facteurs
Table des matières
- Aperçu
- Exigences
- Activez votre licence
- Activer l'authentification à deux facteurs
- Ajouter des utilisateurs et des groupes
- Modifier les utilisateurs
- Supprimer des utilisateurs et des groupes
- Réinitialiser la configuration pour les utilisateurs
- Inscrire l'utilisateur pour l'authentification à deux facteurs
- Recevez des codes avec une application d'authentification
- Configurer SMS pour recevoir des codes d'authentification
- Se connecter en utilisant l'authentification à deux facteurs
- Synchronisation du temps
- Paramètres
Aperçu
L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire et empêche l'accès à la session de vos utilisateurs même si quelqu'un connaît leur mot de passe .
Une combinaison de deux facteurs différents est utilisée pour atteindre un niveau de sécurité supérieur :
- quelque chose qu'ils connaissent, un mot de passe .
- quelque chose qu'ils ont, un appareil - tel qu'un smartphone - avec une application d'authentification installée. .
Vous pouvez utiliser l'une des applications d'authentification suivantes pour continuer. Ces applications sont disponibles sur une large gamme de plateformes :
Chaque fois qu'un utilisateur se connecte à sa session distante, il aura besoin de son mot de passe et d'un code de vérification disponible sur son téléphone mobile. Une fois configurée, l'application d'authentification affichera un code de vérification pour lui permettre de se connecter à tout moment. Cela fonctionne même si son appareil est hors ligne.
OU vous pouvez choisir de recevoir des codes de vérification par SMS Dans ce cas, vous devrez créer un compte gratuit sur Twilio .
Le Les codes 2FA générés sont TOTP (mot de passe à usage unique basé sur le temps), et donc sont à usage unique.
Par conséquent, il n'est pas possible de réutiliser un code 2FA qui a déjà été utilisé. Cela empêche le vol et ensuite l'utilisation d'un code 2FA en observant l'utilisateur pendant qu'il saisit son code.
Exigences
L'authentification à deux facteurs nécessite TSplus Remote Access Web mobile ou Entreprise Éditions.
L'authentification à deux facteurs est prise en charge par :
- TSplus Remote Access Portail web , pour les connexions HTML5 et Remoteapp
- TSplus Connection Client, pour les clients générés depuis la version 15.30.3.15, avec le support 2FA explicitement activé. Voir Support du générateur de client portable pour l'authentification à deux facteurs
- 2FA est lié aux utilisateurs de Windows et non aux identifiants Web.
Ce mode d'authentification ne prend pas en charge la connexion via le client Microsoft Remote Desktop standard (mstsc.exe).
Afin de fournir une solution encore plus sûre, les connexions RDP sont refusées pour les utilisateurs ayant 2FA activé.
En tant que prérequis, le serveur TSplus et les appareils doivent être à l'heure. Voir le Synchronisation du temps et Paramètres sections pour plus d'informations sur la configuration.
Activation de la licence de l'add-on d'authentification à deux facteurs
La fonctionnalité d'authentification à deux facteurs se trouve dans l'onglet Add-On de l'AdminTool :
###
Activer l'authentification à deux facteurs
Effectuez les étapes suivantes pour activer l'authentification à deux facteurs pour votre serveur ou déploiement TSplus. Si votre déploiement TSplus est configuré pour utiliser plusieurs serveurs, effectuez cette tâche sur le serveur TSplus exposé comme le point d'entrée unique pour les utilisateurs ou ayant le rôle de proxy inverse.
- Ouvrez l'application d'administration de l'authentification à deux facteurs. L'état de l'authentification à deux facteurs et l'état de la licence sont affichés :
Par défaut, 2FA est activé pour le portail TSplus et les serveurs d'applications autonomes.
Vous pouvez l'activer uniquement pour les serveurs d'applications TSplus en saisissant l'URL du serveur d'authentification :
Ou désactivez-le :
###
Ajouter des utilisateurs et des groupes
Une fois que l'authentification à deux facteurs est activée, vous pouvez configurer les utilisateurs pour l'authentification à deux facteurs.
-
Depuis l'application d'administration de l'authentification à deux facteurs, cliquez sur le Gérer les utilisateurs tab.
-
Ensuite, cliquez sur Ajouter pour sélectionner des utilisateurs et/ou des groupes d'utilisateurs. Le Sélectionner des utilisateurs ou des groupes la boîte s'ouvre.
Ajoutez autant d'utilisateurs et de groupes que nécessaire, puis cliquez.
OK
Les utilisateurs et les groupes sont ajoutés à la liste et activés pour l'authentification à deux facteurs.
Modifier les utilisateurs
Sur le même carreau, vous pouvez modifier la façon dont les utilisateurs reçoivent les codes de vérification en sélectionnant un utilisateur et en cliquant sur le bouton « Modifier » :
L'utilisateur reçoit des codes de vérification sur l'application d'authentification par défaut. Vous pouvez choisir qu'il/elle les reçoive par SMS ou EMAIL en sélectionnant l'option.
Sélectionné SMS et ajouté le numéro de téléphone de l'utilisateur dans le champ ou sélectionné EMAIL et ajouté l'email de l'utilisateur.
Supprimer les utilisateurs et les groupes
Pour supprimer des utilisateurs ou des groupes, sélectionnez l'utilisateur ou le groupe, puis cliquez sur Supprimer Un message de confirmation s'affiche.
Cliquez
Oui
L'utilisateur ou le groupe est retiré de sa liste et ne pourra plus se connecter en utilisant l'authentification à deux facteurs.
Réinitialiser la configuration pour les utilisateurs
En cas de perte de l'appareil d'authentification d'un utilisateur, ou si l'utilisateur doit afficher à nouveau le code QR secret, vous devez réinitialiser les paramètres d'authentification de l'utilisateur.
-
Depuis l'application d'administration de l'authentification à deux facteurs, cliquez sur le Gérer les utilisateurs tab.
-
Sélectionnez un ou plusieurs utilisateurs activés, puis cliquez sur Réinitialiser Un message de confirmation s'affiche :
3) Cliquez
Oui
Les utilisateurs sélectionnés se verront présenter un nouveau code QR lors de la prochaine connexion et devront le scanner dans l'application d'authentification de leur appareil. Vous pouvez également modifier le numéro de téléphone de l'utilisateur, afin qu'il puisse recevoir un code de vérification sur son nouvel appareil.
Inscrire l'utilisateur pour l'authentification à deux facteurs
Une fois qu'un utilisateur a été activé pour utiliser l'authentification à deux facteurs, un message d'activation sera affiché lors de sa prochaine connexion réussie depuis le portail Web TSplus.
Pour compléter les étapes requises, vous avez deux choix : soit générer des codes via une application d'authentification, soit faire en sorte que l'utilisateur reçoive des codes par SMS.
Recevez des codes avec une application d'authentification
L'utilisateur doit installer une application d'authentification sur un appareil portable, tel que son smartphone.
Vous pouvez utiliser l'une des applications d'authentification suivantes pour continuer. Ces applications sont disponibles sur une large gamme de plateformes :
Veuillez consulter la documentation de chaque application pour plus de détails sur la façon de procéder pour ajouter votre compte TSplus.
Configurer SMS
Pour que l'utilisateur reçoive des codes de vérification par SMS, vous devez d'abord l'activer. Cliquez sur le Configurer SMS onglet :
TSplus utilise Twilio pour envoyer des codes de vérification par SMS. Twilio est une plateforme cloud tierce, non affiliée à TSplus.
- Créez simplement un compte gratuit sur Twilio en cliquant sur le bouton ci-dessous « Commencez votre essai gratuit avec Twilio » :
2) Sur votre
Tableau de bord du compte Twilio
vous devrez activer votre numéro d'essai :
- La prochaine étape n'est nécessaire que pour les versions d'essai. Elle permet à Twilio de vérifier le numéro de téléphone réel sur lequel les SMS seront envoyés. Entrez ce numéro sous le menu “Numéros de téléphone” - “Identifiants d'appelants vérifiés” onglet :
Vous pourrez alors entrer votre SID de compte, votre jeton d'authentification et
Numéro d'essai
comme le numéro de téléphone sur le
Configurer SMS
onglet de TSplus :
Ensuite, cliquez sur Enregistrer. Le message suivant s'affichera :
Vous pouvez gérer votre abonnement Twilio sur le Gérer l'abonnement Twilio section, en bas de la Configurer SMS Gérez votre compte, consultez l'état du service ou contactez le centre de support Twilio en cliquant simplement sur les boutons correspondants.
Configurer EMAIL
Pour que l'utilisateur reçoive des codes de vérification par EMAIL, vous devez d'abord configurer votre email SMTP.
Se connecter en utilisant l'authentification à deux facteurs
Une fois qu'un utilisateur a configuré son compte TSplus dans son application d'authentification, il ou elle pourra se connecter en utilisant son mot de passe et le code fourni par son application d'authentification, par SMS ou par e-mail.
Depuis le portail Web de TSplus Remote Access :
Depuis le client généré par TSplus :
Les serveurs d'application TSplus et les dispositifs clients doivent partager le même temps. Cela signifie que l'heure et la date du serveur doivent être synchronisées avec un serveur de temps. Les dispositifs clients doivent également avoir une synchronisation horaire, quel que soit le fuseau horaire dans lequel ils sont configurés.
Si une demande d'authentification provient d'un appareil dont la date et l'heure ne sont pas synchronisées, ou si la date et l'heure du serveur ne sont pas synchronisées, cette demande peut être rejetée.
La validation des informations entre le périphérique et le serveur concerne l'heure UTC. Dans le Paramètres section, le paramètre de Discrepency est utilisé pour gérer la période de validité du code, par intervalles de 30 secondes.
Exemple de validation ou d'authentification valide :
- le serveur est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 2, il est 14h30
- l'appareil est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 1, il est 13h30
- le paramètre de Discrepency est configuré à 60, c'est-à-dire une période de validité du code de 30 minutes
- en référence à l'heure UTC, l'heure de l'appareil et l'heure du serveur sont identiques.
Exemple de validation ou d'authentification invalide :
- le serveur est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 2, il est 14h30
- l'appareil n'est pas synchronisé avec un serveur de temps, le fuseau horaire est UTC-1, l'heure est réglée manuellement à 13h30
- le paramètre de Discrepency est configuré à 60, c'est-à-dire une période de validité du code de 30 minutes
- l'heure du serveur référencée à l'heure UTC est 00:30
- le temps communiqué par le Dispositif, appelé heure UTC, est 14h30
- la différence est de 120 minutes, le code de validation est donc refusé.
Paramètres
L'onglet Paramètres vous permet de autoriser les utilisateurs, afin qu'ils puissent se connecter en utilisant un client RDP, sans avoir besoin de saisir un code d'authentification à deux facteurs.
Cliquez sur le bouton « Ajouter » pour ajouter un utilisateur et supprimez un utilisateur en le sélectionnant et en cliquant sur le bouton « Supprimer ».
L'onglet Avancé vous permet de configurer les paramètres détaillés de l'authentification à deux facteurs.
Discrepance
Vous pouvez modifier la valeur de Discrepancy, ce qui vous permet de définir le temps de validation d'un code de vérification. Une différence de 3 signifie que le même code de vérification reste valide 90 secondes en arrière et en avant de sa période de validité originale de 30 secondes. La valeur par défaut est 480, ce qui signifie 480 x 30 secondes = 4 heures.
Émetteur
Une chaîne indiquant le nom du service d'authentification à deux facteurs. L'émetteur est affiché sur l'application mobile du client et identifie le service associé au code de vérification généré. Par défaut, il est composé du nom du serveur avec TSplus.
Validité après la première session
Période pendant laquelle un utilisateur peut ouvrir une session sans avoir à revalider un code d'authentification à deux facteurs précédent. Ce paramètre permet aux utilisateurs d'ouvrir des applications depuis le portail d'application Web successivement. La valeur par défaut est de 480 minutes.
Validité avant la première session
Période pendant laquelle un utilisateur peut ouvrir une session après avoir validé un code d'authentification à deux facteurs depuis le portail Web ou depuis l'application mobile, en secondes. La valeur par défaut est de 3600 secondes.
Chiffres
Le nombre de chiffres à afficher à l'utilisateur. Veuillez noter que ce paramètre peut ne pas être pris en charge par les applications d'authentification. Ce nombre doit être supérieur ou égal à 4 et inférieur ou égal à 12. La valeur par défaut est 6.
Message de code de vérification par SMS
Message envoyé aux utilisateurs demandant un code de vérification s'ils sont configurés pour le recevoir par SMS. Ce message doit contenir le placeholder %CODE% qui sera remplacé par le code de vérification réel. Par défaut : Votre code de vérification %ISSUER% est : %CODE%