Aller au contenu

Mettre en place une authentification avec une clé Yubikey de Yubico

Cet article présente l'implémentation de l'authentification multi-facteur avec des clés de sécurités FIDO2, biométriques ou non, Yubikey de Yubico.

Configuration d'un identifiant de partie de confiance

Avant tout enrôlement de clé, il est nécessaire de configurer un identifiant de partie de confiance dans le produit.

Ouvrez le plan de travail Configuration de la console d'administration puis le manu Parties de confiance.

Saisissez :

  • Un nom d'identification, libre, à votre convenance
  • Le nom du domaine du portail utilisateur sous la forme MY_TENANT_NAME.cyberelements.ioMY_TENANT_NAME correspond au nom de votre tenant cyberelements.io sinon indiquez le nom DNS d'accès au portail utilisateur pour cyberelements Cleanroom.

Note

Le nom de votre tenant cyberelements.io peut aussi être retrouvé ici :

Enrôlement des clés

Avant de pouvoir être utilisée sur cyberelements.io ou cyberelements Cleanroom, une clé de sécurité Yubikey doit d'abord être enrôlée dans le portail utilisateur de cyberelements par la propriétaire de la clé.

Commencez par vous authentifier sur le portail utilisateur avec le compte utilisateur concerné :

Ouvrez ensuite la fenêtre de gestion des clés via le bouton situé dans le coin supérieur droit de la page et cliquez sur le bouton « Associer une nouvelle clé » pour démarrer l'enrôlement. Suivez les étapes affichées dans les pop-ups qui s'affichent par la suite :

Remarque

Cette étape doit être réalisée dans un délai de 30 secondes maximum. Le nombre de fenêtres, leur apparence et leur contenu peut varier suivant plusieurs facteurs (OS, navigateur, clé...)

Après avoir complété les étapes de l'enrôlement, saisir un nom pour identifier la nouvelle clé. Ce nom sera ensuite utilisé par cyberelements.io ou cyberelements Cleanroom pour désigner cette clé dans la liste des clés de l'utilisateur.

Authentification

Une fois qu'une clé de sécurité a été associée à un compte, cette clé est nécessaire pour l'authentification de ce compte auprès du portail utilisateur de cyberelements.io ou cyberelements Cleanroom pour l'utilisateur concerné.

Si plusieurs clés sont associées à un même compte, n'importe laquelle de ces clés peut être utilisée pour s'authentifier sur ce compte.

Commencez par vous authentifier sur le portail utilisateur avec le compte utilisateur concerné :

Une pop-up demandera d'insérer votre clé sur l'un des ports USB de votre poste de travail.

Une fois la clé insérée, un code PIN vous sera demandé :

Une fois les étapes complétées, la page principale s'affichera si l'authentification par clé de sécurité s'est soldée par un succès.

Dans le cas contraire, le formulaire de saisie des identifiants s'affichera et un message d'erreur sera ajouté et tracé dans les journaux d'accès.

Gestion des clés d'authentification

Les administrateurs de plateforme cyberelements.io ou cyberelements Cleanroom ont la possibilité de révoquer une clé d'authentification d'un utilisateur.

Pour cela, rendez-vous au menu de gestion des clés dans la console d'administration :

Ce menu liste toutes les clés d'authentification enrôlées par les utilisateurs.

Une fois ce menu ouvert, vous pourrez sélectionner puis supprimer une clé. Cela empêchera par la suite l'utilisateur de s'authentifier avec cette clé.

Troubleshooting

Le bouton permettant d’enrôler une nouvelle clé pour l’utilisateur connecté au portail web de cyberelements n’est actif que sous les conditions suivantes :

  • L'utilisateur doit être authentifié avec un compte personnel au portail et ne doit pas être authentifié par le biais d'un domaine de type « anonyme ».
  • L'administrateur doit avoir au préalable configuré au moins un identifiant de partie de confiance

Si au moins une de ces conditions n'est pas remplie, le bouton est grisé et un message d'erreur est affiché lors d'un survol du bouton. L'interface est constituée d'une liste répertoriant les clés associées à l'utilisateur, ainsi que la date d'ajout de ces clés. Il est également possible pour l'utilisateur d'effectuer un enrôlement, un désenrôlement ou un renommage de la clé.