...
Comment permettre aux utilisateurs de réinitialiser leur deuxième facteur de manière autonome en cas d’impossibilité de l’utiliser (vol ou perte de l’appareil servant à récupérer le code OTP, par exemple) ?
La gestion de ce type de situation est actuellement laissée à l’appréciation de chaque établissement, car les procédures de réinitialisation dépendent fortement de leur organisation interne et de leur PSSI.
Une approche possible consiste à utiliser l’API ESUP-OTP-API pour générer un code à usage unique via la méthode bypass. Ce code peut ensuite être transmis à l’usager par un canal jugé adéquat par l’établissement : mail personnel, courrier interne, remise en main propre, etc. Cette procédure permet de rétablir l’accès sans nécessiter une validation du second facteur, tout en s’adaptant aux exigences de sécurité locales.
Plus précisément :
- Appeler PUT /protected/users/:uid/methods/bypass/activate pour activer la méthode,
- Puis POST /protected/users/:uid/methods/bypass/secret?codes_number=1 pour générer un code à usage unique.
- Ensuite, vous pouvez envoyer ce code par email
PS : pour les méthodes /protected , bien mettre l'api_password dans le header headers.Authorization = 'Bearer ' + api_password;