UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Authentification multifacteur > Intégration pour les utilisateurs finaux – avec un jeton Token2 HOTP

Intégration pour les utilisateurs finaux – avec Token2 HOTP

Les Token2 HOTP sont des jetons programmables, produits par Token2, qui peuvent être configurés pour utiliser des mots de passe à usage unique basés sur HMAC (HOTP) pour l'authentification multifacteur.

HOTP est une alternative aux mots de passe à usage unique basés sur le temps (TOTP). Notez que les solutions TOTP les plus utilisées sont des applications d'authentification (par exemple Google Authenticator) ou des jetons programmables (par exemple, Token2 miniOTP-3).

UserLock configure les Token2 HOTP de manière efficace uniquement du côté serveur, évitant ainsi toute configuration client.

Pour s'authentifier avec Token2 HOTP, les utilisateurs tapent simplement sur leur clé de sécurité. Cette touche tactile Token2 HOTP entre automatiquement un code d'authentification prédéterminé; évitant ainsi la possibilité pour l'utilisateur final d'entrer un code invalide.

Prérequis

Les utilisateurs doivent employer une Token2 avec prise en charge HOTP telle que la Token2 T2F2-ALU. Cet appareil doit être branché sur un port USB lors de la connexion.

Pour s'inscrire à la MFA avec Token2 HOTP, les utilisateurs devront se connecter directement (et non via RDP) à un ordinateur pour que l'agent Desktop UserLock détecte la clé Token2 (les connexions suivantes permettront les connexions RDP avec la clé Token2 branchée sur l'ordinateur client).

Activer l'authentification à deux facteurs avec UserLock et Token2 HOTP

Une fois que la MFA est activée pour un compte d'utilisateur (configurez la fréquence MFA dont vous avez besoin), cet utilisateur peut avoir besoin d'aide pour se connecter pour la première fois avec UserLock et Token2:

  1. L'utilisateur branche la clé Token2 HOTP sur l'ordinateur (ne vous connectez pas via RDP pour cette première connexion comme expliqué dans la section "Conditions requises").
  2. L'utilisateur se connecte.
  3. L'agent de bureau UserLock détecte automatiquement qu'une clé Token2 HOTP est connectée et demande donc à l'utilisateur s'il s'agit de la méthode préférée pour configurer l'authentification multifacteur (sinon la boîte de dialogue TOTP s'affichera):

  4. Si l'utilisateur choisit "Token USB", Token2 est automatiquement détecté et une boîte de dialogue apparaît:

  5. Ensuite, l'agent Desktop UserLock programme la clé Token2 HOTP à l'aide du code MFA (sans l'afficher), puis met à jour le bouton Link Token2 pour confirmer que l'opération a réussi:

  6. Le champ d'édition du code d'authentification est automatiquement sélectionné et l'utilisateur peut toucher la clé Token2.

    La zone d'édition affichera le code à 6 chiffres associé et fermera automatiquement la boîte de dialogue indiquant que l'opération de vérification a réussi.

Connexions suivantes avec l'authentification à deux facteurs, UserLock et Token2 HOTP

Après une connexion initiale dans laquelle la configuration Token2 est incluse, les connexions suivantes où la MFA est demandé se produiront comme suit:

  1. L'utilisateur branche la clé Token2 HOTP sur l'ordinateur (l'ordinateur client en cas de connexion RDP).
  2. L'utilisateur se connecte à sa session Windows.
  3. L'agent poste de travail UserLock demande le code d'authentification:

  4. L'utilisateur touche le bouton Token2.

    La zone d'édition affichera le code à 6 chiffres associé. Pour se connecter, l'utilisateur clique sur "Vérifier et continuer".

Avancé

Token2 HOTP et RDP

Comme expliqué dans la section «Prérequis», n'oubliez pas que pour s'inscrire la première fois à la MFA avec Token2, les utilisateurs devront se connecter directement (et non via RDP) à un ordinateur (les connexions suivantes permettront les connexions RDP avec la clé Token2 HOTP branchée sur l'ordinateur client).

Cas d'utilisation: que faire si ma clé Token2 est perdue, oubliée...

Vous pouvez utiliser une méthode alternative telle que l'application Authenticator ou les codes de récupération, s'ils ont été configurés.

De plus, La fonction facultative Demander de l'aide de UserLock MFA (désactivée par défaut) est conçue pour alerter les administrateurs UserLock dans de tels cas: les actions incluent la réinitialisation de la clé MFA, la désactivation temporaire de la MFA, l'assistance à l’activation de la clé Token2...

Cas d'utilisation: que faire si j'ai utilisé TOTP avant et maintenant j'utilise HOTP Token2?

Pour ces utilisateurs, réinitialisez la clé MFA, puis configurez Token2 comme expliqué dans la section Pour activer l'authentification à deux facteurs avec UserLock et Token2 HOTP.

TOTP et / ou HOTP

Le choix entre TOTP et HOTP dépend de plusieurs arguments. Par exemple, HOTP est un choix préféré si le serveur UserLock est installé sur une machine virtuelle sur laquelle l'horloge n'est pas synchronisée aussi souvent que TOTP MFA l'exige (si votre machine virtuelle est installée dans le cadre d'une plateforme Hyper-V, il y a un risque de problèmes de synchronisation de l'heure).

Limitations

La configuration d'un token Token2 HOTP n'est possible qu'avec une session de bureau locale.

Vous ne pouvez pas enregistrer ces jetons avec une session RDP, IIS, SaaS ou VPN. Cependant, une fois le jeton configuré, vous pouvez l'utiliser pour vous authentifier à ces types de sessions à distance.

L'utilisation avec des machines virtuelles peut être limitée

Il est possible de monter des Token2 HOTP dans des machines virtuelles Virtual Box: l'utilisation de Token2 sur de telles machines est possible à la fois pour la configuration et l'authentification. Cependant, il existe des problèmes lorsque vous essayez de les configurer avec des machines virtuelles Hyper-V, bien que l'authentification soit possible.

Pour une liste comparative des jetons compatibles par Token2, cliquez ici.

Risque de désynchronisation HOTP en cas de nombre élevé de connexions hors réseau

S'il y a un nombre élevé de connexions hors réseau, le compteur HOTP du jeton peut être désynchronisé par rapport à celui côté serveur UserLock. Si tel est le cas, le code MFA ne sera pas accepté. Par défaut, un décalage de 6 codes entre les 2 compteurs est autorisé, vous pouvez modifier ce nombre via le paramètre avancé "MaxHotpCodeCount".