Aller au contenu principal

Authentification à Deux Facteurs (2FA)

Sécurité Renforcée avec des Mots de Passe à Usage Unique Basés sur le Temps

OmniCRM prend en charge l'authentification à deux facteurs (2FA) utilisant des mots de passe à usage unique basés sur le temps (TOTP). Cela ajoute une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent à la fois leur mot de passe et un code sensible au temps d'une application d'authentification.

Voir aussi : RBAC pour les permissions de gestion de 2FA, Flux d'Authentification pour les détails du processus de connexion.

Objectif

La 2FA fournit :

  1. Sécurité Renforcée --- Protège les comptes même si les mots de passe sont compromis.
  2. Conformité --- Répond aux exigences de sécurité pour les industries réglementées.
  3. Choix de l'Utilisateur --- Optionnel pour les utilisateurs, peut être appliqué par rôle ou globalement.
  4. Norme de l'Industrie --- Utilise le protocole TOTP compatible avec Google Authenticator, Authy, Microsoft Authenticator et d'autres applications standard.

Comment Fonctionne la 2FA

Lorsque la 2FA est activée pour un utilisateur :

  1. Configuration --- L'utilisateur scanne un code QR avec son application d'authentification lors de l'inscription.
  2. Connexion --- Après avoir saisi le nom d'utilisateur/mot de passe, l'utilisateur fournit le code à 6 chiffres de son application.
  3. Vérification --- Le système valide que le code basé sur le temps correspond à la valeur attendue.
  4. Accès --- L'utilisateur obtient l'accès uniquement après que les deux facteurs ont été vérifiés.

Activation de la 2FA

Pour les Utilisateurs Individuels

Les utilisateurs peuvent activer la 2FA pour leur propre compte :

  1. Accédez aux Paramètres de l'Utilisateur ou au Profil
  2. Sélectionnez Activer l'Authentification à Deux Facteurs
  3. Scannez le code QR avec une application d'authentification
  4. Entrez le code de vérification pour confirmer la configuration
  5. Enregistrez les codes de secours dans un endroit sécurisé

Sauvegarde & Récupération

Codes de Secours

Lors de l'activation de la 2FA, les utilisateurs reçoivent des codes de secours qui peuvent être utilisés si leur appareil n'est pas disponible :

  • Chaque code est à usage unique
  • Conservez les codes en toute sécurité hors ligne
  • Générez de nouveaux codes si tous sont utilisés

Réinitialisation par l'Administrateur

Si un utilisateur perd l'accès à son authentificateur et que tous les codes de secours sont épuisés, un administrateur ayant accès à la base de données peut réinitialiser manuellement la 2FA de l'utilisateur en effaçant le champ totp_secret dans la base de données. L'utilisateur peut ensuite réactiver la 2FA.

Intégration API

Activer la 2FA pour un utilisateur

POST /2fa/enable/user/{user_id}

{
  "password": "current_password"
}

La réponse inclut l'URI de provisionnement (pour le code QR) et les codes de secours.

Vérifier la configuration de la 2FA

POST /2fa/verify-setup/user/{user_id}

{
  "code": "123456"
}

Vérifier la 2FA lors de la connexion

POST /2fa/verify/user/{user_id}

{
  "code": "123456"
}

Retourne un jeton d'accès, un jeton de rafraîchissement et des données utilisateur après une vérification réussie.

Régénérer des codes de secours

POST /2fa/backup-codes/regenerate/user/{user_id}

Nécessite une authentification. Retourne un nouvel ensemble de codes de secours.

Meilleures Pratiques

  • Codes de secours d'abord. Toujours sauvegarder les codes de secours avant de terminer la configuration de la 2FA.
  • Éduquer les utilisateurs. Fournir des instructions claires pour la configuration et la récupération.
  • Processus de réinitialisation sécurisé. Vérifiez l'identité de l'utilisateur avant de réinitialiser manuellement la 2FA dans la base de données.

FAQ

Quelles applications d'authentification sont prises en charge ? Toute application compatible TOTP (Google Authenticator, Authy, Microsoft Authenticator, 1Password, etc.).

Que faire si je perds mon téléphone ? Utilisez un code de secours ou contactez un administrateur pour réinitialiser la 2FA.

Puis-je utiliser SMS au lieu d'une application ? Actuellement, seules les applications d'authentification TOTP sont prises en charge.

La 2FA est-elle obligatoire ? Cela dépend de la politique de votre organisation. La 2FA est généralement requise pour les rôles administratifs et de support, mais est optionnelle pour les utilisateurs clients. Le système n'impose pas la 2FA pour les comptes clients (les utilisateurs de rôle client ne voient pas les invites d'inscription à la 2FA).

Combien de temps les codes TOTP sont-ils valides ? Les codes se rafraîchissent toutes les 30 secondes et ont une petite fenêtre de temps pour la validation (accepte généralement les codes de la fenêtre actuelle de 30 secondes plus les fenêtres précédentes/suivantes pour la tolérance de décalage horaire).