Passer au contenu
TSplus Documentation ®

Authentification à deux facteurs

Table des matières

Aperçu

L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire et empêche l'accès à la session de vos utilisateurs même si quelqu'un connaît leur mot de passe .

Une combinaison de deux facteurs différents est utilisée pour atteindre un niveau de sécurité supérieur :

  1. quelque chose qu'ils connaissent, un mot de passe .
  2. quelque chose qu'ils ont, un appareil - tel qu'un smartphone - avec une application d'authentification installée. .

Vous pouvez utiliser l'une des applications d'authentification suivantes pour continuer. Ces applications sont disponibles sur une large gamme de plateformes :

Chaque fois qu'un utilisateur se connecte à sa session distante, il aura besoin de son mot de passe et d'un code de vérification disponible sur son téléphone mobile. Une fois configurée, l'application d'authentification affichera un code de vérification pour lui permettre de se connecter à tout moment. Cela fonctionne même si son appareil est hors ligne.

OU vous pouvez choisir de recevoir des codes de vérification par SMS Dans ce cas, vous devrez créer un compte gratuit sur Twilio .

Le Les codes 2FA générés sont TOTP (mot de passe à usage unique basé sur le temps), et donc sont à usage unique.

Par conséquent, il n'est pas possible de réutiliser un code 2FA qui a déjà été utilisé. Cela empêche le vol et ensuite l'utilisation d'un code 2FA en observant l'utilisateur pendant qu'il saisit son code.

Exigences

L'authentification à deux facteurs nécessite TSplus Remote Access Web mobile ou Entreprise Éditions.

L'authentification à deux facteurs est prise en charge par :

Ce mode d'authentification ne prend pas en charge la connexion via le client Microsoft Remote Desktop standard (mstsc.exe).

Afin de fournir une solution encore plus sûre, les connexions RDP sont refusées pour les utilisateurs ayant 2FA activé.

En tant que prérequis, le serveur TSplus et les appareils doivent être à l'heure. Voir le Synchronisation du temps et Paramètres sections pour plus d'informations sur la configuration.

Activation de la licence de l'add-on d'authentification à deux facteurs

La fonctionnalité d'authentification à deux facteurs se trouve dans l'onglet Add-On de l'AdminTool :

Activating-Two-Factor-Authentication 1 ### Activer l'authentification à deux facteurs

Effectuez les étapes suivantes pour activer l'authentification à deux facteurs pour votre serveur ou déploiement TSplus. Si votre déploiement TSplus est configuré pour utiliser plusieurs serveurs, effectuez cette tâche sur le serveur TSplus exposé comme le point d'entrée unique pour les utilisateurs ou ayant le rôle de proxy inverse.

  1. Ouvrez l'application d'administration de l'authentification à deux facteurs. L'état de l'authentification à deux facteurs et l'état de la licence sont affichés :

Two-factor Authentication Par défaut, 2FA est activé pour le portail TSplus et les serveurs d'applications autonomes.

Vous pouvez l'activer uniquement pour les serveurs d'applications TSplus en saisissant l'URL du serveur d'authentification :

Two-factor Authentication Application Server Ou désactivez-le :

Two-factor Authentication is disabled ### Ajouter des utilisateurs et des groupes

Une fois que l'authentification à deux facteurs est activée, vous pouvez configurer les utilisateurs pour l'authentification à deux facteurs.

  1. Depuis l'application d'administration de l'authentification à deux facteurs, cliquez sur le Gérer les utilisateurs tab.

  2. Ensuite, cliquez sur Ajouter pour sélectionner des utilisateurs et/ou des groupes d'utilisateurs. Le Sélectionner des utilisateurs ou des groupes la boîte s'ouvre.

Add Users and Groups Ajoutez autant d'utilisateurs et de groupes que nécessaire, puis cliquez. OK Les utilisateurs et les groupes sont ajoutés à la liste et activés pour l'authentification à deux facteurs.

Modifier les utilisateurs

Sur le même carreau, vous pouvez modifier la façon dont les utilisateurs reçoivent les codes de vérification en sélectionnant un utilisateur et en cliquant sur le bouton « Modifier » :

Edit Users

L'utilisateur reçoit des codes de vérification sur l'application d'authentification par défaut. Vous pouvez choisir qu'il/elle les reçoive par SMS ou EMAIL en sélectionnant l'option.

Sélectionné SMS et ajouté le numéro de téléphone de l'utilisateur dans le champ ou sélectionné EMAIL et ajouté l'email de l'utilisateur.

Supprimer les utilisateurs et les groupes

Pour supprimer des utilisateurs ou des groupes, sélectionnez l'utilisateur ou le groupe, puis cliquez sur Supprimer Un message de confirmation s'affiche.

Remove Users and Groups Cliquez Oui L'utilisateur ou le groupe est retiré de sa liste et ne pourra plus se connecter en utilisant l'authentification à deux facteurs.

Réinitialiser la configuration pour les utilisateurs

En cas de perte de l'appareil d'authentification d'un utilisateur, ou si l'utilisateur doit afficher à nouveau le code QR secret, vous devez réinitialiser les paramètres d'authentification de l'utilisateur.

  1. Depuis l'application d'administration de l'authentification à deux facteurs, cliquez sur le Gérer les utilisateurs tab.

  2. Sélectionnez un ou plusieurs utilisateurs activés, puis cliquez sur Réinitialiser Un message de confirmation s'affiche :

Reset Users 3) Cliquez Oui Les utilisateurs sélectionnés se verront présenter un nouveau code QR lors de la prochaine connexion et devront le scanner dans l'application d'authentification de leur appareil. Vous pouvez également modifier le numéro de téléphone de l'utilisateur, afin qu'il puisse recevoir un code de vérification sur son nouvel appareil.

Inscrire l'utilisateur pour l'authentification à deux facteurs

Une fois qu'un utilisateur a été activé pour utiliser l'authentification à deux facteurs, un message d'activation sera affiché lors de sa prochaine connexion réussie depuis le portail Web TSplus.

Activate Two-factor Authentication Pour compléter les étapes requises, vous avez deux choix : soit générer des codes via une application d'authentification, soit faire en sorte que l'utilisateur reçoive des codes par SMS.

Recevez des codes avec une application d'authentification

L'utilisateur doit installer une application d'authentification sur un appareil portable, tel que son smartphone.

Vous pouvez utiliser l'une des applications d'authentification suivantes pour continuer. Ces applications sont disponibles sur une large gamme de plateformes :

Veuillez consulter la documentation de chaque application pour plus de détails sur la façon de procéder pour ajouter votre compte TSplus.

Configurer SMS

Pour que l'utilisateur reçoive des codes de vérification par SMS, vous devez d'abord l'activer. Cliquez sur le Configurer SMS onglet :

TSplus utilise Twilio pour envoyer des codes de vérification par SMS. Twilio est une plateforme cloud tierce, non affiliée à TSplus.

  1. Créez simplement un compte gratuit sur Twilio en cliquant sur le bouton ci-dessous « Commencez votre essai gratuit avec Twilio » :

Configure SMS 2) Sur votre Tableau de bord du compte Twilio vous devrez activer votre numéro d'essai :

Configure SMS

  1. La prochaine étape n'est nécessaire que pour les versions d'essai. Elle permet à Twilio de vérifier le numéro de téléphone réel sur lequel les SMS seront envoyés. Entrez ce numéro sous le menu “Numéros de téléphone” - “Identifiants d'appelants vérifiés” onglet :

Configure SMS Vous pourrez alors entrer votre SID de compte, votre jeton d'authentification et Numéro d'essai comme le numéro de téléphone sur le Configurer SMS onglet de TSplus :

Configure SMS Configure SMS Ensuite, cliquez sur Enregistrer. Le message suivant s'affichera :

Configure SMS

Vous pouvez gérer votre abonnement Twilio sur le Gérer l'abonnement Twilio section, en bas de la Configurer SMS Gérez votre compte, consultez l'état du service ou contactez le centre de support Twilio en cliquant simplement sur les boutons correspondants.

Configurer EMAIL

Pour que l'utilisateur reçoive des codes de vérification par EMAIL, vous devez d'abord configurer votre email SMTP.

Configure EMAIL

Se connecter en utilisant l'authentification à deux facteurs

Une fois qu'un utilisateur a configuré son compte TSplus dans son application d'authentification, il ou elle pourra se connecter en utilisant son mot de passe et le code fourni par son application d'authentification, par SMS ou par e-mail.

Depuis le portail Web de TSplus Remote Access :

Login Using Two-factor Authentication From Web Portal Depuis le client généré par TSplus :

Login Using Two-factor Authentication From Generated Client ### Synchronisation du temps

Les serveurs d'application TSplus et les dispositifs clients doivent partager le même temps. Cela signifie que l'heure et la date du serveur doivent être synchronisées avec un serveur de temps. Les dispositifs clients doivent également avoir une synchronisation horaire, quel que soit le fuseau horaire dans lequel ils sont configurés.

Si une demande d'authentification provient d'un appareil dont la date et l'heure ne sont pas synchronisées, ou si la date et l'heure du serveur ne sont pas synchronisées, cette demande peut être rejetée.

La validation des informations entre le périphérique et le serveur concerne l'heure UTC. Dans le Paramètres section, le paramètre de Discrepency est utilisé pour gérer la période de validité du code, par intervalles de 30 secondes.

Exemple de validation ou d'authentification valide :

  • le serveur est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 2, il est 14h30
  • l'appareil est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 1, il est 13h30
  • le paramètre de Discrepency est configuré à 60, c'est-à-dire une période de validité du code de 30 minutes
  • en référence à l'heure UTC, l'heure de l'appareil et l'heure du serveur sont identiques.

Exemple de validation ou d'authentification invalide :

  • le serveur est synchronisé avec un serveur de temps, le fuseau horaire est UTC + 2, il est 14h30
  • l'appareil n'est pas synchronisé avec un serveur de temps, le fuseau horaire est UTC-1, l'heure est réglée manuellement à 13h30
  • le paramètre de Discrepency est configuré à 60, c'est-à-dire une période de validité du code de 30 minutes
  • l'heure du serveur référencée à l'heure UTC est 00:30
  • le temps communiqué par le Dispositif, appelé heure UTC, est 14h30
  • la différence est de 120 minutes, le code de validation est donc refusé.

Paramètres

L'onglet Paramètres vous permet de autoriser les utilisateurs, afin qu'ils puissent se connecter en utilisant un client RDP, sans avoir besoin de saisir un code d'authentification à deux facteurs.

Cliquez sur le bouton « Ajouter » pour ajouter un utilisateur et supprimez un utilisateur en le sélectionnant et en cliquant sur le bouton « Supprimer ».

Two-factor Authentication-Settings

L'onglet Avancé vous permet de configurer les paramètres détaillés de l'authentification à deux facteurs.

Two-factor Authentication-Advanced-Settings

Discrepance

Vous pouvez modifier la valeur de Discrepancy, ce qui vous permet de définir le temps de validation d'un code de vérification. Une différence de 3 signifie que le même code de vérification reste valide 90 secondes en arrière et en avant de sa période de validité originale de 30 secondes. La valeur par défaut est 480, ce qui signifie 480 x 30 secondes = 4 heures.

Two-factor Authentication-Advanced-Settings

Émetteur

Une chaîne indiquant le nom du service d'authentification à deux facteurs. L'émetteur est affiché sur l'application mobile du client et identifie le service associé au code de vérification généré. Par défaut, il est composé du nom du serveur avec TSplus.

Two-factor Authentication-Advanced-Settings

Validité après la première session

Période pendant laquelle un utilisateur peut ouvrir une session sans avoir à revalider un code d'authentification à deux facteurs précédent. Ce paramètre permet aux utilisateurs d'ouvrir des applications depuis le portail d'application Web successivement. La valeur par défaut est de 480 minutes.

Two-factor Authentication-Advanced-Settings

Validité avant la première session

Période pendant laquelle un utilisateur peut ouvrir une session après avoir validé un code d'authentification à deux facteurs depuis le portail Web ou depuis l'application mobile, en secondes. La valeur par défaut est de 3600 secondes.

Two-factor Authentication-Advanced-Settings

Chiffres

Le nombre de chiffres à afficher à l'utilisateur. Veuillez noter que ce paramètre peut ne pas être pris en charge par les applications d'authentification. Ce nombre doit être supérieur ou égal à 4 et inférieur ou égal à 12. La valeur par défaut est 6.

Two-factor Authentication-Advanced-Settings

Message de code de vérification par SMS

Message envoyé aux utilisateurs demandant un code de vérification s'ils sont configurés pour le recevoir par SMS. Ce message doit contenir le placeholder %CODE% qui sera remplacé par le code de vérification réel. Par défaut : Votre code de vérification %ISSUER% est : %CODE%

Two-factor Authentication-Advanced-Settings

Souhaitez-vous voir le site dans une autre langue ?

Anglais
English Español Deutsch Italiano Português Français 简体中文 العربية
Changer de langue