Accueil > Documentation > Paramétrage > Abonnement > Abonnement : Authentification forte
Dernière mise à jour le 6 avril 2021

Abonnement : Authentification forte

La gestion de la sécurité centralisée

Un espace de gestion de la sécurité est désormais disponible. Cet écran est accessible depuis le menu Utilisateur en haut à droite :

Cet écran contient 2 onglets :

  • Le premier onglet permet à l’utilisateur connecté de modifier son mot de passe.
    Cet écran remplace celui qui était accessible depuis le lien Modifier le Mot de Passe de l’écran de gestion des préférences.
  • Le second onglet permet de configurer l’authentification forte pour l’utilisateur :
    • Définition de la manière par défaut de réaliser une authentification forte
    • Ajout/suppression des méthodes d’authentification utilisant une application d’authentification
    • Le second onglet et son paramétrage sont décrits de manière plus complète dans le chapitre Authentification forte.

L’authentification forte double facteur

De nombreuses modifications ont été apportées sur la version précédente pour permettre la mise en œuvre de l’authentification double facteur et notamment un renforcement de l’authentification.

Un identifiant de sécurité pour chaque utilisateur

Un identifiant a été ajouté à l’ensemble des utilisateurs de la plateforme.
Valorisé par défaut avec l’adresse email de chacun des utilisateurs, il sert dorénavant à l’authentification des utilisateurs (IHM et WebServices). Une fois valorisé, ce champ n’est pas modifiable.

Règles de création

  • L’adresse email reste valide pour l’authentification.
  • Génération automatique de l’identifiant.
    A la création d’un utilisateur, un identifiant est généré automatiquement et est attribué à l’utilisateur. L’identifiant est composé de deux lettres suivies de plusieurs chiffres. La taille de cet identifiant est fixé à 8 caractères.
  • Cette donnée n’est pas modifiable.

Règles d’utilisation

  • Cet identifiant est utilisé pour la première connexion et toutes les actions de renouvellement de mot de passe. Il est transmis dans les messages de notifications.
  • Le champ "Identifiant utilisateur" a été ajouté dans le tableau listant les utilisateurs.
    Le critère de recherche "Nom d’utilisateur" est remplacé par "Identifiant utilisateur"

Le champ n’est visible que si l’utilisateur connecté est administrateur d’abonnement. Ce champ n’est pas modifiable.

  • A la création d’un nouvel utilisateur, une pop-up est affichée, afin de communiquer le nouvel identifiant généré.

Mise en place de l’authentification forte

Une authentification forte est dorénavant exigée lors de la connexion à la plateforme dans les situations suivantes :

  • Première connexion de l’utilisateur
  • Oubli du mot de passe
  • Renouvellement du mot de passe

Pour réaliser l’authentification forte, un code de vérification est envoyé par email et devra être entré par l’utilisateur pour valider son authentification.

Notifications pour réaliser une authentification forte

Des notifications spécifiques permettent de délivrer les valeurs de l’identifiant et du code de sécurité nécessaire à la connexion à Sycomore.

  • A la première connexion d’un utilisateur
  • A la réinitialisation d’un mot de passe

Le code de vérification

Le code de vérification délivré possède une durée de validité définie dans le message envoyé (fixée à 10 min). Le nombre de tentatives de saisie du code de vérification est limité (fixé à 3). Le code sera rendu inactif si le nombre de tentatives est atteint.

La première connexion à Sycomore

Le message envoyé à l’utilisateur à l’issu de sa création sur Sycomore contient un lien de connexion sur la page de login et l’invite à sélectionner le bouton "Première connexion".
L’utilisateur qui s’authentifie pour la première fois sur la plateforme va définir lui-même son premier mot de passe au travers de ce lien "Première connexion".

Pour tout autre complément, nous vous incitons à consulter l’article Nouveautés Sycomorev21.01

Ajout de la demande d’un second facteur d’authentification à la connexion

En plus de lors de l’affectation d’un nouveau mot de passe, un second facteur d’authentification peut être demandé au moment de la connexion.
Le nombre de jours entre lesquels une authentification est requise au moment de la connexion de l’utilisateur est fixé à 90 jours par défaut.
Les utilisateurs à qui il sera demandé un code de vérification au moment de la connexion ne sont que les utilisateurs qui ont déjà configuré leur authentification forte ou ceux pour lesquels l’exploitation a décidé de les forcer à configurer leur authentification forte (cf Activation de l’authentification forte).

Ce comportement est également valable pour les utilisateurs Sycomore se connectant depuis l’écran de connexion de Sycomore Relevés (tels que les experts-comptables).

Configuration de l’utilisateur pour réaliser une authentification forte double facteur

Lorsqu’une authentification forte est demandée, une pop-up de saisie du code de vérification s’ouvre et demande un code de vérification qui correspond au type de méthode par défaut configuré pour l’utilisateur.
Lorsque le type de méthode par défaut configuré pour l’utilisateur est l’application d’authentification (OTP).

L’utilisateur pourra néanmoins décider d’utiliser un code de vérification envoyé sur son adresse email (par exemple si l’utilisateur ne possède pas son téléphone portable sur lui).

Webservices liés à l’authentification/vérification double-facteur

  • Web services de consultation des préférences de sécurité du second facteur d’authentification d’un utilisateur : /api/v1/utilisateurs/identifiant/preferences/securite/2fa
  • Web service d’enregistrement de type 2FA par défaut dans les préférences d’utilisateur : /api/v1/utilisateurs/identifiant/preferences/securite/2fa/typeParDefaut
  • Web service d’ajout d’une clé OTP pour un utilisateur : /api/v1/utilisateurs/identifiant/preferences/securite/2fa/otp
  • Web service de suppression d’une clé OTP pour un utilisateur : /api/v1/utilisateurs/identifiant/preferences/securite/2fa/otp/idCleOtp
  • Web service de vérification du code OTP pour valider la clé OTP, ajout d’une clé OTP en état ’En attente’ pour un utilisateur : /api/v1/utilisateurs/identifiant/preferences/securite/2fa/otp/idCleOtp/verification

Pour tout complément sur l’utilisation de ces nouveaux WebServices, merci de consulter la documentation spécifique mise à votre disposition sur simple demande à notre centre de support.

Activation de l’authentification forte double facteur

L’activation de l’authentification double facteur avec l’application OTP est faite automatiquement à la création d’un utilisateur.
Pour activer ou modifier l’authentification forte pour un utilisateur, il faut accéder à l’écran de gestion de la sécurité, menu utilisateur en haut à droite.
L’utilisateur aura le choix entre l’application OTP ou l’email.
Le code de vérification sera fourni par défaut par email pour tous les anciens utilisateurs qui n’ont pas configuré leur mode d’authentification.

Nouvel affichage des modes d’authentification sur l’IHM

On distingue désormais les 3 modes d’authentification pour un utilisateur.

  • Authentification par login/mot de passe.
  • Authentification par Certificat.
  • Authentification par SSO. Cette option n’est disponible que sur les plateformes qui prennent en charge ce mode de connexion.

Le changement de mot de passe se fait à partir du menu "sécurité" situé dans le menu utilisateur en haut à droite.

Informations techniques relatives à l’authentification forte

Paramétrage de l’authentification forte

Description

  • Nombre de jours de renouvellement de la vérification du second facteur d’authentification :
    • ccom.post.authentification.authentForte.renouvellement.nbJours
    • valeur par défaut : 90

Désactivation de l’authentification par e-mail

La nouvelle propriété ccom.post.authentification.abonne.email.active permet d’activer ou désactiver l’authentification d’un abonné par son email(champ EMAIL dans la base de données). Cette propriété doit être positionnée pour les applications suivantes : WebappIHM, BackendWs et Gateway.

Si ce flag est à ’false’ l’utilisateur ne peut pas s’authentifier par login/mot de passe en fournissant son email comme login. L’authentification est en échec dans ce cas. Par conséquence l’utilisateur peut se connecter uniquement en fournissant son identifiant comme login.

Si ce flag est à ’true’ l’utilisateur peut se connecter par identifiant/mot de passe ou par email/mot de passe.
La valeur par défaut est true.
Cette propriété n’impacte pas l’authentification d’un exploitant.

Activation de l’authentification forte

Suite au déploiement de l’authentification forte sur une plateforme existante, il est nécessaire que les utilisateurs effectuent leur configuration pour l’authentification forte.

Pour cela, un mécanisme de redirection de l’utilisateur vers le nouvel écran de configuration de l’authentification forte (Nouvel écran de gestion de la sécurité) a été mis en place.
Cette redirection est désactivée par défaut.
L’authentification forte est réalisée par l’envoi d’un code de vérification sur l’adresse mail de l’utilisateur.

L’activation de l’authentification forte est réalisée en jouant sur la valeur de la colonne TYPE_2FA de la table CORE_PREFERENCES_UTILISATEUR :

La valeur NULL, valeur par défaut des nouveaux utilisateurs :

redirige l’utilisateur vers l’écran de configuration de son double-facteur pour l’inciter à effectuer sa configuration

active la réalisation de l’authentification à la connexion, tous les 90 jours

la valeur AUCUN, valeur initiale pour tous les utilisateurs existants :

désactive la redirection vers l’écran de configuration de son double-facteur

désactive la réalisation de l’authentification à la connexion, tous les 90 jours

Ainsi, pour activer l’authentification forte pour un groupe d’utilisateurs, il faut valoriser la colonne TYPE_2FA avec la valeur NULL de la table CORE_PREFERENCES_UTILISATEUR pour toutes les lignes possédant la valeur AUCUN et correspondant aux utilisateurs concernés.

Les utilisateurs existants qui passent de la valeur AUCUN à la valeur NULL devront effectuer une authentification forte à leur connexion (code de vérification envoyé par mail) puis seront redirigés vers l’écran de configuration de leur authentification forte.
Les utilisateurs créés après cette version de Sycomore seront incités à configurer leur authentification forte. De plus, dès leur première connexion, ils auront à effectuer 2 authentifications fortes successivement (code de vérification envoyé par mail) :

La première pour initialiser leur mot de passe

La seconde dans le cadre de l’authentification forte tous les 90 jours