ESUP-OTP

Arborescence des pages

Comparaison des versions

Ancienne version 2

changes.mady.by.user Florian Nari

Sauvegardée le

comparé à

Nouvelle version 3

changes.mady.by.user Aymar Anli

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Une approche possible consiste à utiliser l’API ESUP-OTP-API pour générer un code à usage unique via la méthode bypass. Ce code peut ensuite être transmis à l’usager par un canal jugé adéquat par l’établissement : mail personnel, courrier interne, remise en main propre, etc. Cette procédure permet de rétablir l’accès sans nécessiter une validation du second facteur, tout en s’adaptant aux exigences de sécurité locales.

Plus précisément :

  1. Appeler PUT /protected/users/:uid/methods/bypass/activate pour activer la méthode,
  2. Puis POST /protected/users/:uid/methods/bypass/secret?codes_number=1 pour générer un code à usage unique.
  3. Ensuite, vous pouvez envoyer ce code par email

A - Activer les codes de secours 

  • Activer la méthode bypass et inviter les utilisateurs à générer un ou plusieurs (à paramétrable) codes de secours qui leur permettront de réinitialiser leurs facteurs d'authentification

→ l'inconvénient principal, c'est que l'utilisateur peut ne pas avoir généré son code de secours ou ne l'aura pas avec lui le jour où il en a besoin

B - Activer la méthode mail

  • les utilisateurs pourront recevoir un code OTP par mail

→ avantage : pratique pour l'utilisateur final

→ inconvénient : dépendant d'un mail perso. Si l'utilisateur se fait usurper son mail perso, le 2nd facteur est compromis

C - FranceConnect (délégation tiers de confiance)

  • autoriser les utilisateurs à accéder au manager via un son compte FranceConnect
  • on peut rehausser le niveau en n'acceptant que les authentifications FranceConnect avec mfa

→ Limite : tous les utilisateurs n'ont pas de compte FranceConnect (mineur, étudiant étranger...)

D - Authentification NFC (carte multi-service étudiant / professionnel)

  • activer l'authentification NFC pour tout utilisateur ayant activé le MFA
  • l'utilisateur peut s'authentifier en badgeant avec sa carte multiservice sur l'application mobile Esup Auth

→ l'utilisateur doit être muni d'un dispositif avec lecteur NFCPS : pour les méthodes /protected , bien mettre l'api_password dans le header headers.Authorization = 'Bearer ' + api_password;