Flux d'authentification et contrôles administratifs

OmniCRM offre des fonctionnalités d'authentification complètes, y compris la connexion, l'authentification à deux facteurs (2FA), la gestion des mots de passe et des contrôles administratifs pour gérer la sécurité des utilisateurs. Ce guide se concentre sur les flux de travail de l'interface utilisateur pour les utilisateurs finaux et les administrateurs.

Voir aussi : Portail d'auto-assistance pour la connexion des clients et l'accès au portail, RBAC pour les autorisations du personnel.

Aperçu

L'authentification OmniCRM comprend :

• Connexion par e-mail/mot de passe - Authentification standard basée sur des identifiants
• Authentification à deux facteurs (2FA) - Deuxième facteur basé sur TOTP facultatif
• Se souvenir de moi - Session prolongée jusqu'à 30 jours
• Réinitialisation du mot de passe - Récupération de mot de passe en libre-service par e-mail
• Contrôles administratifs - Outils administratifs pour réinitialiser 2FA et mots de passe
• Connexions sociales - Intégration facultative de Google, Apple, Facebook (si activée)
• Navigation basée sur les rôles - Routage automatique basé sur les rôles des utilisateurs

Flux de connexion

La page de connexion est le point d'entrée pour tous les utilisateurs (personnel et clients).

Connexion standard

{.align-center width="800px"}

Processus de connexion :

1. Entrez l'adresse e-mail (e-mail du personnel ou du client)
2. Entrez le mot de passe
3. Facultatif : Cochez "Se souvenir de moi pendant 30 jours" pour une session prolongée
4. Cliquez sur "Connexion"

Ce qui se passe ensuite :

• Sans 2FA : Utilisateur connecté immédiatement, navigué en fonction du rôle :
  • Clients → Portail d'auto-assistance (/self-care)
  • Personnel/Admins → Tableau de bord des clients (/customers)
  • Mode CBC → Interface de diffusion cellulaire (/create-cell-broadcast)
• Avec 2FA activé : Redirigé vers l'écran de vérification 2FA

Fonction Se souvenir de moi :

Lorsqu'elle est activée, la session persiste pendant 30 jours au lieu d'expirer lorsque le navigateur se ferme. Utilise des cookies HTTP uniquement sécurisés.

Afficher/Masquer le mot de passe :

Cliquez sur l'icône de l'œil (👁) pour basculer la visibilité du mot de passe.

Connexion avec 2FA

Si l'utilisateur a activé la 2FA, après avoir entré l'e-mail/le mot de passe, l'écran de défi 2FA apparaît :

{.align-center width="800px"}

Utilisation du code d'authentificateur :

1. Ouvrez l'application d'authentificateur (Google Authenticator, Authy, etc.)
2. Trouvez l'entrée OmniCRM
3. Entrez le code à 6 chiffres
4. Le code se soumet automatiquement lorsque les 6 chiffres sont entrés
5. Si valide, l'utilisateur est connecté et navigué vers le tableau de bord approprié

Utilisation du code de récupération :

Si l'application d'authentificateur n'est pas disponible :

1. Cliquez sur l'onglet "Code de récupération"
2. Entrez l'un de vos codes de sauvegarde enregistrés (par exemple, 3fa5b9c2)
3. Cliquez sur "Vérifier"
4. Le code est consommé (ne peut être utilisé qu'une seule fois)

Annuler :

Cliquez sur "Annuler" pour revenir à la page de connexion.

Connexions sociales (facultatif)

Si activé (REACT_APP_ALLOW_SOCIAL_LOGINS=yes), des boutons de connexion sociale apparaissent :

[🔵 Se connecter avec Google ] [⚫ Se connecter avec Apple ] [🔵 Se connecter avec Facebook]

Cliquez sur n'importe quel bouton pour vous authentifier via ce fournisseur. Affiche actuellement un message "bientôt disponible" (mise en œuvre de la connexion sociale en cours).

Lien de mot de passe oublié

Cliquez sur le lien "Mot de passe oublié ?" pour initier le flux de réinitialisation du mot de passe.

Configuration de l'authentification à deux facteurs (2FA)

Les utilisateurs peuvent activer la 2FA pour une sécurité accrue du compte. La 2FA utilise TOTP (Mot de passe à usage unique basé sur le temps) compatible avec les applications d'authentificateur standard.

Accéder à la configuration de la 2FA

Depuis le profil utilisateur ou les paramètres :

Remarque pour les clients :

Les utilisateurs ayant un rôle de client ne voient pas les invites 2FA. La 2FA est généralement requise uniquement pour le personnel et les utilisateurs administratifs.

Étape 1 : Confirmer le mot de passe

Mot de passe actuel

[Annuler] [Continuer]

Entrez votre mot de passe actuel pour continuer. Cela vérifie votre identité avant d'activer la 2FA.

Étape 2 : Scanner le code QR

[Annuler] [Confirmer]

Instructions de configuration :

1. Téléchargez l'application d'authentificateur (si vous n'en avez pas) :
   • iOS : Apple App Store → "Google Authenticator"
   • Android : Google Play → "Google Authenticator"
   • Alternatives : Authy, Microsoft Authenticator, 1Password
2. Scanner le code QR :
   • Ouvrez l'application d'authentificateur
   • Appuyez sur "+" ou "Ajouter un compte"
   • Choisissez "Scanner le code QR"
   • Visez la caméra sur le code QR à l'écran
   • L'application ajoute l'entrée "OmniCRM" avec le code à 6 chiffres
3. Sauvegarder les codes de sauvegarde :
   • CRITIQUE : Notez ou copiez ces 8 codes
   • Conservez-les dans un endroit sûr (gestionnaire de mots de passe, coffre-fort, etc.)
   • Chaque code n'est utilisable qu'une seule fois
   • Utilisé si vous perdez l'accès à l'application d'authentificateur
   • Cliquez sur "Copier les codes" pour copier tous les codes dans le presse-papiers
4. Vérifier la configuration :
   • Entrez le code actuel à 6 chiffres de l'application d'authentificateur
   • Cliquez sur "Confirmer"
   • Si valide, la 2FA est maintenant activée

Étape 3 : 2FA activée

Un message de succès apparaît :

À partir de maintenant, la connexion nécessite à la fois le mot de passe et le code 2FA.

Flux de réinitialisation de mot de passe (auto-service)

Les utilisateurs qui oublient leur mot de passe peuvent le réinitialiser par e-mail.

Étape 1 : Demander un lien de réinitialisation

Depuis la page de connexion, cliquez sur "Mot de passe oublié ?"

{.align-center width="800px"}

1. Entrez l'adresse e-mail
2. Cliquez sur "Envoyer le lien de réinitialisation"

Ce qui se passe :

• Le système vérifie si l'e-mail existe dans la base de données
• Si trouvé, envoie un e-mail de réinitialisation de mot de passe via Mailjet
• L'e-mail contient un lien de réinitialisation limité dans le temps (généralement expiration de 1 heure)
• Un message de succès apparaît : "Les instructions de réinitialisation ont été envoyées à votre e-mail"

Si l'e-mail n'est pas trouvé :

Message d'erreur : "Aucun compte trouvé avec cette adresse e-mail"

Étape 2 : Vérifier l'e-mail

L'utilisateur reçoit un e-mail avec un sujet comme :

Bonjour [Nom],

Vous avez demandé une réinitialisation de mot de passe pour votre compte OmniCRM.

Cliquez sur le lien ci-dessous pour réinitialiser votre mot de passe : <https://yourcompany.com/reset-password/abc123token456>

Ce lien expire dans 1 heure.

Si vous n'avez pas demandé cela, ignorez cet e-mail.

Cliquez sur le lien de réinitialisation pour continuer.

Étape 3 : Définir un nouveau mot de passe

Le lien de réinitialisation ouvre la page de création de mot de passe :

🔒 (icône de verrou)

Mot de passe

Confirmer le mot de passe

[Réinitialiser le mot de passe]

1. Entrez le nouveau mot de passe
2. Réentrez-le dans le champ Confirmer le mot de passe
3. Cliquez sur "Réinitialiser le mot de passe"

Exigences du mot de passe :

• Longueur minimale (généralement 8+ caractères)
• Les mots de passe doivent correspondre

Succès :

• Message de succès : "Le mot de passe a été réinitialisé avec succès"
• Redirection automatique vers la page de connexion
• L'utilisateur peut maintenant se connecter avec le nouveau mot de passe

Jeton expiré/invalide :

Si le lien de réinitialisation est expiré ou invalide :

[Demander un nouveau lien de réinitialisation]

Contrôles administratifs pour la gestion des utilisateurs

Les administrateurs disposant des autorisations appropriées peuvent gérer les paramètres d'authentification des utilisateurs depuis l'interface de gestion des utilisateurs.

Accéder à la gestion des utilisateurs

Affiche un tableau de tous les utilisateurs avec des boutons d'action.

Nom E-mail Téléphone Actions John Smith <john@example.com> +44 123... ✏️ 🗑️ 🔑 🛡️ Jane Doe <jane@example.com> +44 456... ✏️ 🗑️ 🔑 Bob Wilson <bob@example.com> +44 789... ✏️ 🗑️ 🔑 🛡️ ✉️

Icônes d'action :

• ✏️ Modifier - Modifier les détails de l'utilisateur, les rôles, les autorisations
• 🗑️ Supprimer - Supprimer le compte utilisateur
• 🔑 Réinitialiser le mot de passe - Générer un mot de passe temporaire
• 🛡️ Réinitialiser 2FA - Désactiver la 2FA pour l'utilisateur (affiché uniquement si 2FA activé)
• ✉️ Envoyer un e-mail de bienvenue - Renvoyer l'e-mail de bienvenue (affiché uniquement si l'utilisateur ne s'est jamais connecté)

Admin : Réinitialiser le mot de passe de l'utilisateur

Lorsque l'utilisateur oublie son mot de passe et que l'administrateur doit aider :

Étape 1 : Cliquez sur l'icône Réinitialiser le mot de passe (🔑)

Une fenêtre de confirmation apparaît :

Êtes-vous sûr de vouloir réinitialiser le mot de passe pour :

Utilisateur : John Smith (<john@example.com>)

Un mot de passe temporaire sera généré et affiché. L'utilisateur doit changer ce mot de passe lors de sa prochaine connexion.

[Annuler] [Réinitialiser le mot de passe]

Étape 2 : Confirmer la réinitialisation

Cliquez sur "Réinitialiser le mot de passe". Le système génère un mot de passe temporaire sécurisé.

Étape 3 : Mot de passe temporaire affiché

Mot de passe temporaire pour John Smith :

[📋 Copier le mot de passe]

⚠️ IMPORTANT : • Envoyez ce mot de passe à l'utilisateur par un canal sécurisé • Ne pas envoyer par e-mail ou messagerie non sécurisée • L'utilisateur sera obligé de changer le mot de passe lors de sa prochaine connexion

[Fermer]

Action de l'administrateur :

• Copier le mot de passe temporaire
• Appeler l'utilisateur ou communiquer par méthode sécurisée
• Fournir le mot de passe temporaire verbalement
• Indiquer à l'utilisateur de se connecter et de changer le mot de passe

Expérience utilisateur :

Lorsque l'utilisateur se connecte avec le mot de passe temporaire :

1. La connexion réussit
2. Redirection immédiate vers l'écran "Changer le mot de passe"
3. Doit définir un nouveau mot de passe avant d'accéder au système
4. Ne peut pas ignorer le changement de mot de passe

Admin : Réinitialiser 2FA de l'utilisateur

Lorsque l'utilisateur perd l'accès à l'application d'authentificateur et à tous les codes de sauvegarde :

Étape 1 : Cliquez sur l'icône Réinitialiser 2FA (🛡️)

N'apparaît que pour les utilisateurs ayant actuellement 2FA activé.

Une fenêtre de confirmation apparaît :

{.align-center width="600px"}

Étape 2 : Confirmer la réinitialisation

Cliquez sur "Réinitialiser 2FA"

Étape 3 : Confirmation

Message de succès :

John Smith peut maintenant se connecter uniquement avec son mot de passe. Il peut réactiver la 2FA depuis ses paramètres utilisateur.

Expérience utilisateur :

• L'utilisateur peut maintenant se connecter uniquement avec le mot de passe (aucun code 2FA requis)
• L'icône de bouclier 2FA (🛡️) disparaît de la ligne de l'utilisateur dans le tableau d'administration
• L'utilisateur peut réactiver volontairement la 2FA depuis ses paramètres

Remarque de sécurité importante :

Avant de réinitialiser la 2FA, l'administrateur doit :

1. Vérifier l'identité de l'utilisateur par d'autres moyens :
   • Vérification d'identité gouvernementale
   • Questions de sécurité
   • Vérification de transactions récentes
   • Vérification en personne (si applicable)
2. Documenter la réinitialisation dans les notes du client
3. Informer l'utilisateur de réactiver la 2FA après avoir retrouvé l'accès

Admin : Envoyer un e-mail de bienvenue

Pour les utilisateurs qui n'ont pas reçu ou ont perdu leur e-mail de bienvenue :

Lorsqu'il est disponible :

L'icône de l'avion en papier (✉️) n'apparaît que pour les utilisateurs qui ne se sont jamais connectés (login_count = 0).

Cliquez sur l'icône Envoyer un e-mail de bienvenue (✉️)

Envoyer un e-mail de bienvenue à :

Utilisateur : Bob Wilson (<bob@example.com>)

L'e-mail inclura : • Message de bienvenue • Instructions de connexion • Lien pour définir le mot de passe initial (le cas échéant) • Informations de contact pour le support

[Annuler] [Envoyer l'e-mail]

Cliquez sur "Envoyer l'e-mail"

Message de succès :

E-mail envoyé via Mailjet :

Utilise le modèle : api_crmCommunicationUserWelcome

Admin : Modifier l'utilisateur

Cliquez sur l'icône Modifier (✏️) pour modifier les détails de l'utilisateur :

Prénom

Nom de famille

E-mail

Numéro de téléphone

Rôles ☑ admin ☐ agent_service_client_1 ☐ client

[Annuler] [Enregistrer les modifications]

Champs modifiables :

• Nom, e-mail, téléphone
• Rôles - Attribuer/retirer des rôles (affecte les autorisations)
• Statut actif/inactif

Admin : Supprimer l'utilisateur

Cliquez sur l'icône Supprimer (🗑️) pour supprimer l'utilisateur :

Êtes-vous sûr de vouloir supprimer :

Utilisateur : John Smith (<john@example.com>)

⚠️ AVERTISSEMENT : Cette action ne peut pas être annulée.

Cela supprimera définitivement : • Compte utilisateur et identifiants • Paramètres 2FA • Historique des sessions

Les données et transactions des clients NE seront PAS supprimées.

[Annuler] [Supprimer l'utilisateur]

Cliquez sur "Supprimer l'utilisateur" pour confirmer.

Message de succès :

Meilleures pratiques

Pour les utilisateurs finaux

Sécurité de connexion :

• Utilisez des mots de passe forts et uniques
• Activez "Se souvenir de moi" uniquement sur des appareils personnels
• Déconnectez-vous toujours sur des ordinateurs partagés
• Activez la 2FA pour une sécurité supplémentaire

Gestion de la 2FA :

• Sauvegardez les codes de sauvegarde immédiatement après avoir activé la 2FA
• Conservez les codes dans un gestionnaire de mots de passe ou un endroit sûr
• Testez un code de sauvegarde pour vous assurer qu'il fonctionne
• Régénérez des codes de sauvegarde si vous en utilisez plusieurs
• Contactez l'administrateur si vous perdez à la fois l'authentificateur et les codes de sauvegarde

Gestion des mots de passe :

• Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe
• Ne partagez jamais de mots de passe par e-mail ou messagerie
• Changez de mot de passe si vous soupçonnez un compromis
• Utilisez un mot de passe unique pour OmniCRM (ne pas réutiliser les mots de passe)

Pour les administrateurs

Gestion de la sécurité des utilisateurs :

• Vérifiez l'identité de l'utilisateur avant de réinitialiser la 2FA ou les mots de passe
• N'envoyez jamais de mots de passe temporaires par e-mail
• Documentez toutes les réinitialisations de sécurité dans les notes des utilisateurs
• Encouragez le personnel à activer la 2FA
• Surveillez les modèles de connexion inhabituels

Réinitialisations de mot de passe :

• Communiquez les mots de passe temporaires par téléphone ou en personne uniquement
• Générez des mots de passe temporaires forts (le système le fait automatiquement)
• Assurez-vous que l'utilisateur change de mot de passe lors de la première connexion
• Ne réinitialisez pas les mots de passe inutilement - utilisez le flux de réinitialisation par e-mail lorsque cela est possible

Réinitialisations de 2FA :

• Traitez les réinitialisations de 2FA comme des actions à haute sécurité
• Vérifiez l'identité par plusieurs canaux avant de réinitialiser
• Documentez la raison de la réinitialisation
• Encouragez l'utilisateur à réactiver la 2FA immédiatement après avoir retrouvé l'accès
• Envisagez d'exiger la 2FA pour tous les utilisateurs administratifs

Gestion des utilisateurs :

• Examinez régulièrement la liste des utilisateurs pour les comptes inactifs
• Supprimez les utilisateurs qui ont quitté l'organisation
• Assurez-vous des attributions de rôles appropriées
• Surveillez les utilisateurs qui ne se sont jamais connectés
• Auditez les autorisations des utilisateurs chaque trimestre

Dépannage

Erreur "E-mail ou mot de passe invalide"

• Cause : Identifiants incorrects
• Solution :
  • Vérifiez que l'adresse e-mail est correcte
  • Vérifiez que la touche de verrouillage des majuscules est désactivée
  • Essayez la réinitialisation du mot de passe si oublié
  • Contactez l'administrateur si le compte est verrouillé

Code 2FA non accepté

• Cause : Problème de synchronisation horaire ou code incorrect
• Solution :
  • Assurez-vous que l'heure de l'appareil est correcte (Paramètres → Date & Heure → Automatique)
  • Attendez que le code se rafraîchisse (les codes changent toutes les 30 secondes)
  • Essayez le code suivant qui apparaît
  • Utilisez un code de sauvegarde si l'authentificateur ne fonctionne pas
  • Contactez l'administrateur pour réinitialiser la 2FA si tout échoue

"Se souvenir de moi" ne fonctionne pas

• Cause : Cookies désactivés ou effacés
• Solution :
  • Activez les cookies dans les paramètres du navigateur
  • Ne pas effacer les cookies en fermant le navigateur
  • Désactivez les extensions de confidentialité pour le domaine OmniCRM
  • Essayez un autre navigateur

E-mail de réinitialisation de mot de passe non reçu

• Cause : E-mail non envoyé, filtre anti-spam ou mauvaise adresse e-mail
• Solution :
  • Vérifiez le dossier spam/junk
  • Vérifiez que l'adresse e-mail est correcte
  • Attendez 5 à 10 minutes (la livraison des e-mails peut être retardée)
  • Vérifiez que l'intégration Mailjet fonctionne (administrateur)
  • Contactez l'administrateur pour une réinitialisation manuelle du mot de passe

Lien de réinitialisation de mot de passe expiré

• Cause : Jeton expiré (généralement 1 heure)
• Solution :
  • Demandez une nouvelle réinitialisation de mot de passe
  • Vérifiez l'e-mail et cliquez sur le lien rapidement
  • Contactez l'administrateur en cas de problèmes répétés

Impossible d'activer la 2FA (mot de passe incorrect)

• Cause : Mot de passe actuel saisi incorrectement
• Solution :
  • Vérifiez le mot de passe actuel
  • Réinitialisez le mot de passe d'abord si incertain
  • Contactez l'administrateur pour obtenir de l'aide

Application d'authentificateur et codes de sauvegarde perdus

• Cause : Téléphone perdu/réinitialisé, codes de sauvegarde non sauvegardés
• Solution :
  • Contactez immédiatement l'administrateur
  • L'administrateur vérifiera l'identité et réinitialisera la 2FA
  • Connectez-vous uniquement avec le mot de passe après la réinitialisation
  • Réactivez la 2FA et SAUVEGARDEZ les codes de sauvegarde cette fois

Admin : Erreur "Échec de la réinitialisation de la 2FA"

• Cause : Permissions insuffisantes
• Solution :
  • Assurez-vous d'avoir un rôle d'administrateur
  • Vérifiez les autorisations API
  • Contactez l'administrateur système

Admin : Mot de passe temporaire non généré

• Cause : Erreur API ou problème de permissions
• Solution :
  • Rafraîchissez la page et réessayez
  • Vérifiez les permissions administratives
  • Vérifiez les journaux API pour les erreurs
  • Assurez-vous que la base de données est accessible

Considérations de sécurité

Gestion des sessions :

• Les sessions expirent après une période d'inactivité
• "Se souvenir de moi" prolonge la session à 30 jours
• Les sessions sont stockées sous forme de cookies HTTP uniquement (non accessibles par JavaScript)
• Le drapeau sécurisé garantit que les cookies ne sont envoyés que par HTTPS

Sécurité des mots de passe :

• Les mots de passe sont hachés à l'aide d'algorithmes standard de l'industrie
• Les mots de passe en texte clair ne sont jamais stockés
• Les mots de passe temporaires expirent automatiquement après la première utilisation
• Les tentatives de connexion échouées sont suivies (limitation de taux potentielle)

Sécurité de la 2FA :

• Les secrets TOTP sont chiffrés dans la base de données
• Les codes QR sont générés côté client lorsque cela est possible
• Les codes de sauvegarde sont hachés avant le stockage
• Chaque code de sauvegarde n'est utilisable qu'une seule fois

Actions administratives :

• Les réinitialisations de 2FA sont enregistrées dans le journal d'activité
• Les réinitialisations de mot de passe créent une piste d'audit
• Les actions administratives nécessitent des permissions de rôle appropriées
• Les adresses IP sont enregistrées pour les événements de sécurité

Documentation connexe

• 2fa - Référence API 2FA détaillée (axée sur l'API)
• rbac - Contrôle d'accès basé sur les rôles et autorisations
• administration_configuration - Configuration des e-mails Mailjet pour la réinitialisation de mot de passe
• integrations_mailjet - Configuration des modèles d'e-mail
• customer_care - Portail d'auto-assistance pour clients