« Double authentification » : différence entre les versions

(4 versions intermédiaires par un autre utilisateur non affichées)

Ligne 1 :

{{Note|Attention : cet article est encore à l'état de brouillon. Toute amélioration est fortement bienvenue.}}

~~== Authentification forte à l'ENS de Lyon ==~~

L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs, [https://fr.wikipedia.org/wiki/Double_authentification double authentification] (A2F) a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1er novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.

~~=== Qu'est-ce que l'A2F ? ===~~

L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs ~~ou simplement~~ [https://fr.wikipedia.org/wiki/Double_authentification A2F] a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1er novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.

~~Si vous rencontrez des difficultés avec l'A2F, rendez vous à la section suivante~~.

=== Fonctionnement de ~~l'A2F =~~==

== Fonctionnement de la double authentification ==

Lorsque vous utilisez un service web nécessitant une connexion au CAS ~~(connexion à un terminal ou au webmail exclus)~~, ~~l'A2F~~ vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'un mois<ref>Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.</ref>.

Lorsque vous utilisez un service web nécessitant une connexion au CAS, la double authentification vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'un mois<ref>Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.</ref>.

== Aide ~~avec l'A2F~~ ==

== Aide pour la double authentification ==

=== Activer ~~l'A2F~~ ===

=== Activer la double authentification ===

L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet].

Ligne 32 :

Ligne 29 :

== FIDO2 ==

Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus ~~l'A2F~~ par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2]~~, avec pour~~ objectif à terme de remplacer complètement le TOTP. Pour l'utiliser il vous faudra dans un premier temps configurer votre compte [[Bitwarden]]. Il génère alors un code supplémentaire permanent[À vérifier] mais que seule une adresse précise pourra recevoir (en l'occurence celle du CAS ENS).

Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus la double authentification par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2]. L'objectif à terme de remplacer complètement le TOTP.

~~=== Bitwarden ===~~

Pour l'utiliser il vous faut un gestionnaire de mot de passe pouvant enregistrer vos clefs FIDO. Vous pouvez par exemple utiliser le gestionnaire de mot de passe Bitwarden.

Pour ~~activer~~ l'~~A2F par FIDO2,~~ il ~~est fortement conseillé d'avoir~~ un ~~compte~~ Bitwarden ~~ENS~~. Le guide ~~d'installation~~ est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet]. ~~En voici un résumé :~~

* Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). ~~Copiez quelque part~~ votre ~~nom de périphérique~~.

Le guide de configuration de FIDO2 pour votre compte CAS est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet].

* Un pop-up Bitwarden doit s'ouvrir~~<ref>Si ce n'est pas le cas, contactez la DSI.</ref>~~ : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code> ~~(attention à ne pas vous tromper)~~, puis cliquer sur le normalement seul résultat qui s'affiche.

* Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>.

=== Résumé de la procédure pour Bitwarden ===

# Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). Vous pouvez renommer votre nouveau ''device'' pour pouvoir le reconnaitre plus tard.

# Un pop-up Bitwarden doit s'ouvrir : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code>, puis cliquer sur le normalement seul résultat qui s'affiche.

# Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>.

À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS.

Ligne 45 :

[[Catégorie:Aide]]

[[Catégorie:Service ENS]]

@@ Ligne 1 : / Ligne 1 : @@
 {{Note|Attention : cet article est encore à l'état de brouillon. Toute amélioration est fortement bienvenue.}}
-== Authentification forte à l'ENS de Lyon ==
+L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs, [https://fr.wikipedia.org/wiki/Double_authentification double authentification] (A2F) a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1<sup>er</sup> novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.
-=== Qu'est-ce que l'A2F ? ===
-L'[https://fr.wikipedia.org/wiki/Authentification_forte authentification forte] sous forme d'authentification à deux facteurs ou simplement [https://fr.wikipedia.org/wiki/Double_authentification A2F] a été rendu obligatoire pour l'ensemble de l'ENS de Lyon le 1<sup>er</sup> novembre 2023 <ref>D'après un mail de cette même année de la DSI.</ref>. Celle-ci permet de sécuriser vos accès au CAS de l'ENS de Lyon en demandant une vérification supplémentaire après validation du mot de passe.
-Si vous rencontrez des difficultés avec l'A2F, rendez vous à la section suivante.
-=== Fonctionnement de l'A2F ===
+== Fonctionnement de la double authentification ==
-Lorsque vous utilisez un service web nécessitant une connexion au CAS (connexion à un terminal ou au webmail exclus), l'A2F vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'un mois<ref>Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.</ref>.
+Lorsque vous utilisez un service web nécessitant une connexion au CAS, la double authentification vous demandera un code de vérification supplémentaire auquel vous aurez accès par une application tiers. Il est alors possible de sélectionner l'option <code>faire confiance à cet appareil</code>, mais celle-ci ne dure qu'un mois<ref>Jusqu'à début 2025, la durée de confiance n'était que d'une semaine, puis deux, avant de passer à un mois.</ref>.
-== Aide avec l'A2F ==
+== Aide pour la double authentification ==
-=== Activer l'A2F ===
+=== Activer la double authentification ===
 L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet].
@@ Ligne 32 : / Ligne 29 : @@
 == FIDO2 ==
-Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus l'A2F par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2], avec pour objectif à terme de remplacer complètement le TOTP. Pour l'utiliser il vous faudra dans un premier temps configurer votre compte [[Bitwarden]]. Il génère alors un code supplémentaire permanent<sup>[À vérifier]</sup> mais que seule une adresse précise pourra recevoir (en l'occurence celle du CAS ENS).
+Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus la double authentification par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2]. L'objectif à terme de remplacer complètement le TOTP.
-=== Bitwarden ===
+Pour l'utiliser il vous faut un gestionnaire de mot de passe pouvant enregistrer vos clefs FIDO. Vous pouvez par exemple utiliser le gestionnaire de mot de passe Bitwarden.
-Pour activer l'A2F par FIDO2, il est fortement conseillé d'avoir un compte Bitwarden ENS. Le guide d'installation est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet]. En voici un résumé :
-* Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). Copiez quelque part votre nom de périphérique.
+Le guide de configuration de FIDO2 pour votre compte CAS est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet].
-* Un pop-up Bitwarden doit s'ouvrir<ref>Si ce n'est pas le cas, contactez la DSI.</ref> : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code> (attention à ne pas vous tromper), puis cliquer sur le normalement seul résultat qui s'affiche.
-* Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>.
+=== Résumé de la procédure pour Bitwarden ===
+# Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). Vous pouvez renommer votre nouveau ''device'' pour pouvoir le reconnaitre plus tard.
+# Un pop-up Bitwarden doit s'ouvrir : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code>, puis cliquer sur le normalement seul résultat qui s'affiche.
+# Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>.
 À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS.
@@ Ligne 45 : / Ligne 45 : @@
 <references />
+[[Catégorie:Aide]]
 [[Catégorie:Service ENS]]

« Double authentification » : différence entre les versions

« Double authentification » : différence entre les versions