Comment ?
mettre en place un OTP Mail
Cet article décrit la procédure pour configurer un accès à la plateforme CyberElements de manière sécurisé grâce à un OTP mail.
L’OTP permet d’ajouter un second facteur à l’authentification de l’utilisateur.
Cas d'usage
Le principe de l’OTP mail est, qu’après l’authentification des utilisateurs avec leur identifiant et mot de passe, un mail leur est envoyé contenant un code à usage unique, l’utilisateur devra le saisir sur le portail pour pouvoir accéder au portail avec ses ressources.
Point d’attention sur l’utilisation de l’OTP mail
⚠️ L’OTP mail peut suivant le contexte ne pas rajouter de sécurité forte à l’authentification des utilisateurs.
Si les utilisateurs s’authentifient avec leur compte AD et qu’ils doivent récupérer le code dans une boîte mail rattachée à leur compte AD, alors la sécurisation supplémentaire pourra être anecdotique.
Dans ce cas de figure, un attaquant ayant récupéré les identifiants d’un utilisateur pourra aussi récupérer le code OTP en se connectant à la messagerie de l’utilisateur.
Cependant l’OTP mail peut apporter une sécurisation supplémentaire si :
L’utilisateur se connecte avec un compte local ou un compte différent de sa messagerie
L’OTP mail est envoyé sur une adresse différente de celle du compte de connexion à cyberelements
Comment paramétrer l’OTP mail ?
Dans la console cyberelements il faut rajouter un OTP mail, deux OTP existent :
OTP – email : OTP à utiliser pour se connecter en anonyme au serveur SMTP
OTP – email (Auth) : OTP à utiliser pour se connecter à l’aide d’un compte au serveur SMTP
⚠️ Le flux part du serveur de médiation, il faut veiller à :
- Autoriser le flux du serveur de médiation dans le cas ou votre serveur SMTP est sur votre LAN
Les deux OTP se configurent de la même manière, seul l’OTP authentifiant ajoute des champs supplémentaires pour paramétrer le compte de connexion.
Etape 1 - Création de l'OTP mail
Se rendre dans la console CyberElements et selectionner le menu OTP Token Generators
Ajouter un nouvel OTP
Sélectionner l’OTP mail voulu
Voici ce qui est attendu dans les différents champs :
- Name : nom de l’OTP ; ce dernier sera visible par l’utilisateur sur le portail cloud
- Description : ajout d’une description visible des administrateurs
- OTP usable characters : liste des caractères qui seront utilisés pour la génération aléatoire du code OTP
- OTP Lenght : nombre de caractères du code OTP
- Validity of period of a token (seconds) : durée en seconde pour que le code OTP soit saisi par l’utilisateur avant que le code ne soit plus valide
- Message before the OTP : permet de personnaliser le message dans le corp du mail juste avant l’ajout du code OTP
- SMTP Server : adresse du serveur SMTP, peut-être une IP ou un nom DNS ; si aucun port n’est défini c’est le port 25 qui sera utilisé implicitement
- Sender : adresse mail de l’expéditeur du mail
- Start TLS : activation ou non de start TLS
- ID (specific to OTP mail authenticator) : indication du nom d’utilisateur avec lequel se connecter au serveur SMTP
- Password (specific to OTP mail authenticator) : mot de passe du compte de connexion au serveur SMTP
- Mail subject : personnalisation de l’objet du mail
Etape 2 - Affecter l'OTP mail à un domaine
⚠️ L’ajout d’un MFA n’est possible qu’au niveau d’un domaine, peu importe l’utilisateur qui se connectera à ce domaine.
Votre nouveau jeton OTP mail pourra être affecté au domaine de votre choix dans les paramétrages de ce dernier :
Voici le détail des options :
- Authentification Tokens : sélection du MFA à appliquer sur le domaine
- User attribute used to send the OTP : nom de l’attribut utilisateur dans lequel Cleanroom ira récupérer l’adresse mail de l’utilisateur
- Token Expiration Time : temps en jour avant que l’OTP ne soit redemandé à l’utilisateur pour sa connexion au portail cloud
ℹ️ L’attribut email peut être défini pour récupérer l’adresse mail indiquée dans les propriétés des utilisateurs locaux.