Flux d'authentification et contrôles administratifs

OmniCRM fournit des fonctionnalités d'authentification complètes, y compris la connexion, l'authentification à deux facteurs (2FA), la gestion des mots de passe et des contrôles administratifs pour gérer la sécurité des utilisateurs. Ce guide se concentre sur les flux de travail de l'interface utilisateur pour les utilisateurs finaux et les administrateurs.

Voir aussi : Self-Care Portal <self_care_portal> pour la connexion des clients et l'accès au portail, RBAC <rbac> pour les autorisations du personnel.

Aperçu

L'authentification OmniCRM comprend :

• Connexion par Email/Mot de passe - Authentification standard basée sur des identifiants
• Authentification à Deux Facteurs (2FA) - Facteur secondaire basé sur TOTP en option
• Se souvenir de moi - Session prolongée jusqu'à 30 jours
• Réinitialisation de Mot de Passe - Récupération de mot de passe en libre-service par email
• Contrôles Administratifs - Outils administratifs pour réinitialiser 2FA et mots de passe
• Connexions Sociales - Intégration optionnelle de Google, Apple, Facebook (si activée)
• Navigation Basée sur les Rôles - Routage automatique basé sur les rôles des utilisateurs

Flux de Connexion

La page de connexion est le point d'entrée pour tous les utilisateurs (personnel et clients).

Connexion Standard

Processus de Connexion :

1. Saisir adresse email (email du personnel ou du client)
2. Saisir mot de passe
3. Optionnel : Cocher "Se souvenir de moi pendant 30 jours" pour une session prolongée
4. Cliquer sur "Connexion"

Ce Qui Se Passe Ensuite :

• Sans 2FA : Utilisateur connecté immédiatement, navigué en fonction du rôle :
  • Clients → Portail de Self-Care (/self-care)
  • Personnel/Admins → Tableau de bord des clients (/customers)
  • Mode CBC → Interface de diffusion cellulaire (/create-cell-broadcast)
• Avec 2FA Activé : Redirigé vers l'écran de vérification 2FA

Fonction "Se Souvenir de Moi" :

Lorsqu'elle est activée, la session persiste pendant 30 jours au lieu d'expirer lorsque le navigateur se ferme. Utilise des cookies sécurisés uniquement HTTP.

Afficher/Cacher le Mot de Passe :

Cliquer sur l'icône de l'œil (👁) pour basculer la visibilité du mot de passe.

Connexion avec 2FA

Si l'utilisateur a 2FA activé, après avoir saisi l'email/mot de passe, l'écran de défi 2FA apparaît :

Utilisation du Code d'Authenticator :

1. Ouvrir l'application d'authentification (Google Authenticator, Authy, etc.)
2. Trouver l'entrée OmniCRM
3. Saisir le code à 6 chiffres
4. Le code se soumet automatiquement lorsque les 6 chiffres sont saisis
5. Si valide, l'utilisateur est connecté et navigué vers le tableau de bord approprié

Utilisation du Code de Récupération :

Si l'application d'authentification n'est pas disponible :

1. Cliquer sur l'onglet "Code de Récupération"
2. Saisir l'un de vos codes de sauvegarde enregistrés (par exemple, 3fa5b9c2)
3. Cliquer sur "Vérifier"
4. Le code est consommé (ne peut être utilisé qu'une seule fois)

Annuler :

Cliquer sur "Annuler" pour revenir à la page de connexion.

Connexions Sociales (Optionnelles)

Si activées (REACT_APP_ALLOW_SOCIAL_LOGINS=yes), des boutons de connexion sociale apparaissent :

[🔵 Se connecter avec Google ] [⚫ Se connecter avec Apple ] [🔵 Se connecter avec Facebook]

Cliquer sur n'importe quel bouton pour s'authentifier via ce fournisseur. Affiche actuellement un message "bientôt disponible" (mise en œuvre de la connexion sociale en cours).

Lien de Mot de Passe Oublié

Cliquer sur le lien "Mot de passe oublié ?" pour initier le flux de réinitialisation de mot de passe.

Configuration de l'Authentification à Deux Facteurs (2FA)

Les utilisateurs peuvent activer 2FA pour une sécurité accrue de leur compte. 2FA utilise TOTP (Mot de Passe à Usage Unique Basé sur le Temps) compatible avec les applications d'authentification standard.

Accéder à la Configuration de 2FA

Depuis le profil utilisateur ou les paramètres :

Remarque pour les Clients :

Les utilisateurs ayant le rôle de client ne voient pas les invites 2FA. La 2FA est généralement requise uniquement pour le personnel et les utilisateurs administratifs.

Étape 1 : Confirmer le Mot de Passe

Mot de Passe Actuel

[Annuler] [Continuer]

Saisissez votre mot de passe actuel pour continuer. Cela vérifie votre identité avant d'activer 2FA.

Étape 2 : Scanner le Code QR

[Annuler] [Confirmer]

Instructions de Configuration :

1. Télécharger l'Application d'Authentification (si vous n'en avez pas) :
   • iOS : Apple App Store → "Google Authenticator"
   • Android : Google Play → "Google Authenticator"
   • Alternatives : Authy, Microsoft Authenticator, 1Password
2. Scanner le Code QR :
   • Ouvrir l'application d'authentification
   • Appuyer sur "+" ou "Ajouter un compte"
   • Choisir "Scanner le code QR"
   • Pointer la caméra sur le code QR à l'écran
   • L'application ajoute l'entrée "OmniCRM" avec le code à 6 chiffres
3. Sauvegarder les Codes de Sauvegarde :
   • CRITIQUE : Écrire ou copier ces 8 codes
   • Stocker dans un endroit sécurisé (gestionnaire de mots de passe, coffre-fort, etc.)
   • Chaque code à usage unique seulement
   • Utilisé si vous perdez l'accès à l'application d'authentification
   • Cliquer sur "Copier les Codes" pour copier tous les codes dans le presse-papiers
4. Vérifier la Configuration :
   • Saisir le code à 6 chiffres actuel de l'application d'authentification
   • Cliquer sur "Confirmer"
   • Si valide, 2FA est maintenant activé

Étape 3 : 2FA Activé

Un message de succès apparaît :

Désormais, la connexion nécessite à la fois le mot de passe et le code 2FA.

Flux de Réinitialisation de Mot de Passe (Libre-Service)

Les utilisateurs qui oublient leur mot de passe peuvent le réinitialiser par email.

Étape 1 : Demander un Lien de Réinitialisation

Depuis la page de connexion, cliquer sur "Mot de passe oublié ?"

1. Saisir adresse email
2. Cliquer sur "Envoyer le Lien de Réinitialisation"

Ce Qui Se Passe :

• Le système vérifie si l'email existe dans la base de données
• Si trouvé, envoie un email de réinitialisation de mot de passe via Mailjet
• L'email contient un lien de réinitialisation limité dans le temps (généralement 1 heure d'expiration)
• Un message de succès apparaît : "Les instructions de réinitialisation ont été envoyées à votre email"

Si l'Email n'est Pas Trouvé :

Message d'erreur : "Aucun compte trouvé avec cette adresse email"

Étape 2 : Vérifier l'Email

L'utilisateur reçoit un email avec un sujet comme :

Bonjour [Nom],

Vous avez demandé une réinitialisation de mot de passe pour votre compte OmniCRM.

Cliquez sur le lien ci-dessous pour réinitialiser votre mot de passe : <https://yourcompany.com/reset-password/abc123token456>

Ce lien expire dans 1 heure.

Si vous n'avez pas demandé cela, ignorez cet email.

Cliquez sur le lien de réinitialisation pour continuer.

Étape 3 : Définir un Nouveau Mot de Passe

Le lien de réinitialisation ouvre la page de création de mot de passe :

🔒 (icône de cadenas)

Mot de Passe

Confirmer le Mot de Passe

[Réinitialiser le Mot de Passe]

1. Saisir nouveau mot de passe
2. Rentrer à nouveau dans le champ Confirmer le Mot de Passe
3. Cliquer sur "Réinitialiser le Mot de Passe"

Exigences de Mot de Passe :

• Longueur minimale (généralement 8+ caractères)
• Les mots de passe doivent correspondre

Succès :

• Message de succès : "Le mot de passe a été réinitialisé avec succès"
• Redirection automatique vers la page de connexion
• L'utilisateur peut maintenant se connecter avec le nouveau mot de passe

Jeton Expiré/Invalidé :

Si le lien de réinitialisation est expiré ou invalide :

[Demander un Nouveau Lien de Réinitialisation]

Contrôles Administratifs pour la Gestion des Utilisateurs

Les administrateurs avec les autorisations appropriées peuvent gérer les paramètres d'authentification des utilisateurs depuis l'interface de Gestion des Utilisateurs.

Accéder à la Gestion des Utilisateurs

Affiche un tableau de tous les utilisateurs avec des boutons d'action.

Nom Email Téléphone Actions John Smith <john@example.com> +44 123... ✏️ 🗑️ 🔑 🛡️ Jane Doe <jane@example.com> +44 456... ✏️ 🗑️ 🔑 Bob Wilson <bob@example.com> +44 789... ✏️ 🗑️ 🔑 🛡️ ✉️

Icônes d'Action :

• ✏️ Modifier - Modifier les détails de l'utilisateur, les rôles, les autorisations
• 🗑️ Supprimer - Supprimer le compte utilisateur
• 🔑 Réinitialiser le Mot de Passe - Générer un mot de passe temporaire
• 🛡️ Réinitialiser 2FA - Désactiver 2FA pour l'utilisateur (affiché uniquement si 2FA activé)
• ✉️ Envoyer un Email de Bienvenue - Renvoyer l'email de bienvenue (affiché uniquement si l'utilisateur ne s'est jamais connecté)

Admin : Réinitialiser le Mot de Passe de l'Utilisateur

Lorsque l'utilisateur oublie son mot de passe et que l'administrateur doit aider :

Étape 1 : Cliquer sur l'icône Réinitialiser le Mot de Passe (🔑)

Une modal de confirmation apparaît :

Êtes-vous sûr de vouloir réinitialiser le mot de passe pour :

Utilisateur : John Smith (<john@example.com>)

Un mot de passe temporaire sera généré et affiché. L'utilisateur devra changer ce mot de passe lors de sa prochaine connexion.

[Annuler] [Réinitialiser le Mot de Passe]

Étape 2 : Confirmer la Réinitialisation

Cliquer sur "Réinitialiser le Mot de Passe". Le système génère un mot de passe temporaire sécurisé.

Étape 3 : Mot de Passe Temporaire Affiché

Mot de passe temporaire pour John Smith :

[📋 Copier le Mot de Passe]

⚠️ IMPORTANT : • Envoyer ce mot de passe à l'utilisateur via un canal sécurisé • Ne pas envoyer par email ou messagerie non sécurisée • L'utilisateur sera contraint de changer le mot de passe lors de la prochaine connexion

[Fermer]

Action de l'Administrateur :

• Copier le mot de passe temporaire
• Appeler l'utilisateur ou communiquer par méthode sécurisée
• Fournir le mot de passe temporaire verbalement
• Indiquer à l'utilisateur de se connecter et de changer le mot de passe

Expérience Utilisateur :

Lorsque l'utilisateur se connecte avec le mot de passe temporaire :

1. La connexion réussit
2. Redirection immédiate vers l'écran "Changer le Mot de Passe"
3. Doit définir un nouveau mot de passe avant d'accéder au système
4. Ne peut pas ignorer le changement de mot de passe

Admin : Réinitialiser 2FA de l'Utilisateur

Lorsque l'utilisateur perd l'accès à l'application d'authentification et à tous les codes de sauvegarde :

Étape 1 : Cliquer sur l'icône Réinitialiser 2FA (🛡️)

N'apparaît que pour les utilisateurs ayant 2FA actuellement activé.

Une modal de confirmation apparaît :

Étape 2 : Confirmer la Réinitialisation

Cliquer sur "Réinitialiser 2FA"

Étape 3 : Confirmation

Message de succ��s :

John Smith peut maintenant se connecter uniquement avec son mot de passe. Il peut réactiver 2FA depuis ses paramètres utilisateur.

Expérience Utilisateur :

• L'utilisateur peut maintenant se connecter uniquement avec le mot de passe (aucun code 2FA requis)
• L'icône de bouclier 2FA (🛡️) disparaît de la ligne de l'utilisateur dans le tableau d'administration
• L'utilisateur peut réactiver volontairement 2FA depuis ses paramètres

Remarque de Sécurité Importante :

Avant de réinitialiser 2FA, l'administrateur doit :

1. Vérifier l'identité de l'utilisateur par d'autres moyens :
   • Vérification de l'identité gouvernementale
   • Questions de sécurité
   • Vérification de transactions récentes
   • Vérification en personne (si applicable)
2. Documenter la réinitialisation dans les notes du client
3. Informer l'utilisateur de réactiver 2FA après avoir retrouvé l'accès

Admin : Envoyer un Email de Bienvenue

Pour les utilisateurs qui n'ont pas reçu ou ont perdu leur email de bienvenue :

Lorsqu'il est Disponible :

L'icône de l'avion en papier (✉️) n'apparaît que pour les utilisateurs qui ne se sont jamais connectés (login_count = 0).

Cliquer sur l'icône Envoyer un Email de Bienvenue (✉️)

Envoyer un email de bienvenue à :

Utilisateur : Bob Wilson (<bob@example.com>)

L'email comprendra : • Message de bienvenue • Instructions de connexion • Lien pour définir le mot de passe initial (si applicable) • Informations de contact pour le support

[Annuler] [Envoyer l'Email]

Cliquer sur "Envoyer l'Email"

Message de succès :

Email Envoyé via Mailjet :

Utilise le modèle : api_crmCommunicationUserWelcome

Admin : Modifier l'Utilisateur

Cliquer sur l'icône Modifier (✏️) pour modifier les détails de l'utilisateur :

Prénom

Nom

Email

Numéro de Téléphone

Rôles ☑ admin ☐ customer_service_agent_1 ☐ client

[Annuler] [Sauvegarder les Modifications]

Champs Modifiables :

• Nom, email, téléphone
• Rôles - Assigner/retirer des rôles (affecte les autorisations)
• Statut actif/inactif

Admin : Supprimer l'Utilisateur

Cliquer sur l'icône Supprimer (🗑️) pour retirer l'utilisateur :

Êtes-vous sûr de vouloir supprimer :

Utilisateur : John Smith (<john@example.com>)

⚠️ AVERTISSEMENT : Cette action ne peut pas être annulée.

Cela supprimera définitivement : • Compte utilisateur et identifiants • Paramètres 2FA • Historique des sessions

Les données et transactions des clients ne seront PAS supprimées.

[Annuler] [Supprimer l'Utilisateur]

Cliquer sur "Supprimer l'Utilisateur" pour confirmer.

Message de succès :

Meilleures Pratiques

Pour les Utilisateurs Finaux

Sécurité de Connexion :

• Utiliser des mots de passe forts et uniques
• Activer "Se souvenir de moi" uniquement sur des appareils personnels
• Toujours se déconnecter sur des ordinateurs partagés
• Activer 2FA pour une sécurité supplémentaire

Gestion de 2FA :

• Sauvegarder les codes de sauvegarde immédiatement après avoir activé 2FA
• Stocker les codes dans un gestionnaire de mots de passe ou un endroit sécurisé
• Tester un code de sauvegarde pour s'assurer qu'il fonctionne
• Régénérer des codes de sauvegarde si vous en utilisez plusieurs
• Contacter l'administrateur si vous perdez à la fois l'authentificateur et les codes de sauvegarde

Gestion des Mots de Passe :

• Utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe
• Ne jamais partager de mots de passe par email ou messagerie
• Changer le mot de passe si vous soupçonnez un compromis
• Utiliser un mot de passe unique pour OmniCRM (ne pas réutiliser les mots de passe)

Pour les Administrateurs

Gestion de la Sécurité des Utilisateurs :

• Vérifier l'identité de l'utilisateur avant de réinitialiser 2FA ou les mots de passe
• Ne jamais envoyer de mots de passe temporaires par email
• Documenter toutes les réinitialisations de sécurité dans les notes de l'utilisateur
• Encourager le personnel à activer 2FA
• Surveiller les modèles de connexion inhabituels

Réinitialisations de Mot de Passe :

• Communiquer les mots de passe temporaires uniquement par téléphone ou en personne
• Générer des mots de passe temporaires forts (le système le fait automatiquement)
• S'assurer que l'utilisateur change le mot de passe lors de la première connexion
• Ne pas réinitialiser les mots de passe inutilement - utiliser le flux de réinitialisation par email lorsque cela est possible

Réinitialisations de 2FA :

• Traiter les réinitialisations de 2FA comme des actions de haute sécurité
• Vérifier l'identité par plusieurs canaux avant de réinitialiser
• Documenter la raison de la réinitialisation
• Encourager l'utilisateur à réactiver 2FA immédiatement après avoir retrouvé l'accès
• Envisager d'exiger 2FA pour tous les utilisateurs administratifs

Gestion des Utilisateurs :

• Examiner régulièrement la liste des utilisateurs pour les comptes inactifs
• Supprimer les utilisateurs qui ont quitté l'organisation
• S'assurer que les attributions de rôles sont appropriées
• Surveiller les utilisateurs qui ne se sont jamais connectés
• Auditer les autorisations des utilisateurs trimestriellement

Dépannage

Erreur "Email ou mot de passe invalide"

• Cause : Identifiants incorrects
• Solution :
  • Vérifier que l'adresse email est correcte
  • Vérifier que le verrouillage des majuscules est désactivé
  • Essayer la réinitialisation du mot de passe si oublié
  • Contacter l'administrateur si le compte est verrouillé

Code 2FA non accepté

• Cause : Problème de synchronisation horaire ou code incorrect
• Solution :
  • S'assurer que l'heure de l'appareil est correcte (Paramètres → Date & Heure → Automatique)
  • Attendre que le code se rafraîchisse (les codes changent toutes les 30 secondes)
  • Essayer le prochain code qui apparaît
  • Utiliser un code de sauvegarde si l'authentificateur ne fonctionne pas
  • Contacter l'administrateur pour réinitialiser 2FA si tout échoue

"Se souvenir de moi" ne fonctionne pas

• Cause : Cookies désactivés ou effacés
• Solution :
  • Activer les cookies dans les paramètres du navigateur
  • Ne pas effacer les cookies en fermant le navigateur
  • Désactiver les extensions de confidentialité pour le domaine OmniCRM
  • Essayer un autre navigateur

Email de réinitialisation de mot de passe non reçu

• Cause : Email non envoyé, filtre anti-spam, ou mauvais email
• Solution :
  • Vérifier le dossier spam/junk
  • Vérifier que l'adresse email est correcte
  • Attendre 5-10 minutes (la livraison des emails peut être retardée)
  • Vérifier que l'intégration Mailjet fonctionne (administrateur)
  • Contacter l'administrateur pour une réinitialisation manuelle du mot de passe

Lien de réinitialisation de mot de passe expiré

• Cause : Jeton expiré (généralement 1 heure)
• Solution :
  • Demander une nouvelle réinitialisation de mot de passe
  • Vérifier l'email et cliquer sur le lien rapidement
  • Contacter l'administrateur si des problèmes se répètent

Impossible d'activer 2FA (mot de passe incorrect)

• Cause : Mot de passe actuel saisi incorrectement
• Solution :
  • Vérifier le mot de passe actuel
  • Réinitialiser le mot de passe d'abord si incertain
  • Contacter l'administrateur pour obtenir de l'aide

Application d'authentification et codes de sauvegarde perdus

• Cause : Téléphone perdu/réinitialisé, codes de sauvegarde non sauvegardés
• Solution :
  • Contacter l'administrateur immédiatement
  • L'administrateur vérifiera l'identité et réinitialisera 2FA
  • Se connecter uniquement avec le mot de passe après la réinitialisation
  • Réactiver 2FA et SAUVEGARDER les codes de sauvegarde cette fois

Admin : Erreur "Échec de la réinitialisation de 2FA"

• Cause : Permissions insuffisantes
• Solution :
  • S'assurer que vous avez le rôle d'administrateur
  • Vérifier les permissions API
  • Contacter l'administrateur système

Admin : Mot de passe temporaire non généré

• Cause : Erreur API ou problème de permissions
• Solution :
  • Actualiser la page et réessayer
  • Vérifier les permissions d'administrateur
  • Vérifier les journaux API pour des erreurs
  • S'assurer que la base de données est accessible

Considérations de Sécurité

Gestion des Sessions :

• Les sessions expirent après une période d'inactivité
• "Se souvenir de moi" prolonge la session à 30 jours
• Les sessions sont stockées sous forme de cookies HTTP uniquement (non accessibles par JavaScript)
• Le drapeau sécurisé garantit que les cookies ne sont envoyés que sur HTTPS

Sécurité des Mots de Passe :

• Les mots de passe sont hachés à l'aide d'algorithmes standard de l'industrie
• Les mots de passe en texte clair ne sont jamais stockés
• Les mots de passe temporaires expirent automatiquement après la première utilisation
• Les tentatives de connexion échouées sont suivies (limitation de taux potentielle)

Sécurité de 2FA :

• Les secrets TOTP sont chiffrés dans la base de données
• Les codes QR sont générés côté client lorsque cela est possible
• Les codes de sauvegarde sont hachés avant stockage
• Chaque code de sauvegarde est à usage unique seulement

Actions Administratives :

• Les réinitialisations de 2FA sont enregistrées dans le journal d'activité
• Les réinitialisations de mot de passe créent une trace d'audit
• Les actions administratives nécessitent des permissions de rôle appropriées
• Les adresses IP sont enregistrées pour les événements de sécurité

Documentation Connexe

• 2fa - Référence API détaillée de 2FA (axée sur l'API)
• rbac - Contrôle d'accès basé sur les rôles et autorisations
• administration_configuration - Configuration d'email Mailjet pour la réinitialisation de mot de passe
• integrations_mailjet - Configuration de modèle d'email
• customer_care - Portail de Self-Care pour les clients