Skip to content

comment?

Mettre en place une authentification avec une clé de type FIDO2

Cet article présente l’implémentation de l’authentification avec des clés de sécurité biométriques FIDO2 dans cyberelements.

Le contenu de cette documentation est valide pour toute clé de sécurité FIDO2 bien que cet article présente l’ajout et l’utilisation d’une Yubikey, clé de sécurité de Yubico.

Le principe d’utilisation est de permettre un enrôlement de clé par son propriétaire directement depuis l’interface web de cyberelements, en toute autonomie

Configuration d'un identifiant de partie de confiance

Etape 1- Ouvrir le plan de travail

Avant tout enrôlement de clé, il est nécessaire de configurer un identifiant de partie de confiance dans le produit.

Pour cela,  ouvrez le plan de travail « configuration » de la console d’administration de cyberelements, puis le menu « Parties de confiance »

Etape 2 - Saisir les informations

Saisir :

  • Un nom, libre, à votre convenance
  • Le nom de domaine du portail cloud sous la forme NOMORGANISATION.cyberelements.io

 

 

Où le NOMORGANISATION correspond au nom de votre organisation.

Le nom de votre organisation cyberelements, peut aussi être retrouvé ici :

Enrôlement des clés

Etape 1- S'authentifier sur le portail Cloud

Avant de pouvoir être utilisée sur cyberelements, une clé de sécurité FIDO2 doit d’abord être enrôlée dans le portail web de cyberelements par le propriétaire de la clé :

S’authentifier sur le portail Cloud avec le compte utilisateur concerné

Etape 2 - Associer une nouvelle clé

Ouvrir la fenêtre de gestion des clés via le bouton situé dans le coin supérieur droit de la page

 

Cliquer sur le bouton « Associer une nouvelle clé » pour démarrer le processus d’enrôlement et suivre les étapes affichées dans les pop-ups qui s’affichent par la suite.

Remarque : Cette étape doit être réalisée en 30 secondes maximum. Le nombre de fenêtres, leur apparence et leur contenu peut varier suivant divers facteurs (OS, navigateur, clé…)

 

Après avoir complété les étapes de l’enrôlement, saisir un nom pour la nouvelle clé.

Ce nom sera ensuite utilisé par cyberelements pour désigner cette clé dans la liste des clés de l’utilisateur.

Authentification

Une fois qu’une clé de sécurité a été associée à un compte, cette clé est nécessaire pour l’authentification de ce compte auprès du portail Cloud de cyberelements pour l’utilisateur concerné.

Si plusieurs clés sont associées à un même compte, n’importe laquelle de ces clés peut être utilisée pour s’authentifier sur ce compte.

Etape 1- Se connecter au compte

Se connecter tout d’abord avec le login et le mot de passe utilisateur

Etape 2 - Insérer votre clé

Puis une pop up va vous demander :

  • d’insérer votre clé sur l’un des ports USB de votre poste de travail
  • Si la clé est déjà présente, un code PIN va être demandé (selon le type de clé)

Une fois les étapes complétées, si l’authentification par clé de sécurité s’est soldée par un succès, la page principale du cloud s’affichera. Dans le cas contraire, le formulaire de saisie des identifiants s’affichera, et un message d’erreur sera ajouté et tracé dans les journaux d’accès.

Gestion des clés d’authentification

En tant qu’administrateur de la plateforme cyberelements, il est possible de révoquer une clé d’authentification d’un utilisateur.

Etape 1- Aller au menu de gestion des clés

Pour cela, aller au menu de gestion des clés dans la console d’administration :

Ce menu permet de lister toutes les clés d’authentification enrôlées par les utilisateurs.

Etape 2 - Supprimer la clé

Il est ensuite possible de sélectionner une clé et de la supprimer. Cela empêchera par la suite l’utilisateur de s’authentifier avec cette clé.

Troubleshooting

Le bouton permettant d’enrôler une nouvelle clé pour l’utilisateur connecté au portail web de cyberelements n’est actif que sous certaines conditions.

  • L’authentification FIDO2 n’est pas compatible avec Internet Explorer
  • L’utilisateur doit être authentifié avec un compte personnel au portail, et ne doit donc pas être authentifié par le biais d’un domaine de type « anonyme ».
  • L’administrateur doit avoir au préalable configuré au moins un identifiant de partie de confiance

Si au moins une de ces conditions n’est pas remplie, le bouton est grisé et un message d’erreur est affiché lors d’un survol du bouton. L’interface est constituée d’une liste répertoriant les clés associées à l’utilisateur, ainsi que la date d’ajout de ces clés. Il est également possible pour l’utilisateur d’effectuer un enrôlement (bouton « Associer une nouvelle clé »), un ‘désenrôlement’ ou un renommage de la clé.

Configurer votre authentification FIDO2

ou réserver un échange avec nos experts