Activez la méthode d'authentification par application d'authentification dans Workspace ONE Access pour l'authentification à deux facteurs afin d'exiger que les utilisateurs entrent un code secret à usage unique basé sur l'heure (TOTP) comme seconde information d'identification lorsqu'ils se connectent à l'application Workspace ONE Intelligent Hub ou à toute application qui nécessite une authentification à deux facteurs.

L'authentification à deux facteurs est une amélioration de la sécurité qui vous oblige à présenter deux formes distinctes d'identification pour vous connecter. Les utilisateurs se servent d'une application d'authentification installée sur le terminal pour générer un code secret TOTP et l'utiliser avec leur première information d'identification d'authentification pour se connecter à une application. Les utilisateurs peuvent exploiter leur application d'authentification préférée sur le terminal mobile personnel ou professionnel pour générer le code secret TOTP. Le terminal ne doit pas être nécessairement géré ou enregistré dans Workspace ONE UEM.

Lorsque vous activez l'authentification par l'application d'authentification dans le service Workspace ONE Access, vous pouvez configurer le nombre de fois où les utilisateurs peuvent entrer un code secret incorrect dans une période de nouvelle tentative avant qu'une période d'attente de cinq minutes ne soit imposée. Les configurations par défaut autorisent un maximum de cinq tentatives infructueuses dans un créneau de cinq minutes. Lorsqu'une sixième tentative échoue dans un délai de cinq minutes, le compte d'utilisateur ne peut pas s'authentifier à nouveau avec l'application d'authentification pendant cinq minutes. La mise en œuvre d'une période d'attente après la saisie d'un nombre prédéfini de codes d'accès incorrects permet une protection renforcée contre des acteurs potentiellement malveillants et peut être adaptée aux exigences de sécurité de votre organisation.

Vous pouvez configurer des messages personnalisés qui s'affichent sur l'écran de connexion pour expliquer la procédure d'enregistrement de l'application et les mesures à prendre si l'utilisateur n'est pas en mesure de se connecter.

Dans la stratégie d'accès par défaut ou dans une stratégie d'accès de l'application, configurez des règles pour exiger une authentification par application d'authentification comme deuxième forme d'authentification.

Une application d'authentification est intégrée à l'application Workspace ONE Intelligent Hub pour les périphériques iOS et Android. Les utilisateurs finaux peuvent appuyer sur l'icône de leur profil pour ouvrir leur écran Compte et cliquer sur Authentification à deux facteurs pour configurer la fonctionnalité de l'authentificateur.

Les utilisateurs finaux peuvent également télécharger une application d'authentification basée sur l'algorithme TOTP RFC 6238 depuis Apple App Store ou Google Play Store. Ils peuvent également utiliser un gestionnaire de mots de passe basé sur un navigateur qui peut générer un code secret TOTP pour se connecter.

Lorsque les utilisateurs se connectent pour la première fois, ils utilisent la première information d'identification d'authentification requise et sont invités à enregistrer leur application d'authentification. Le message d'enregistrement personnalisé que vous créez s'affiche sur l'écran Enregistrer l'application d'authentification. Pour l'enregistrer, ils utilisent le scanner intégré à l'application d'authentification pour analyser le code QR et entrer le code secret à six chiffres qui s'affiche dans l'application d'authentification. Si la caméra n'est pas disponible pour l'analyse du code QR, les utilisateurs ont la possibilité d'entrer manuellement le code secret sur l'application d'authentification pour obtenir le code secret à six chiffres. Pour consulter le code secret à entrer dans leur application d'authentification, les utilisateurs doivent cliquer sur utiliser un code à la place sur l'écran d'enregistrement. Aucune information d'identification personnelle n'est stockée dans les comptes d'utilisateurs de la console Workspace ONE Access. Seule la date d'enregistrement est enregistrée.

Figure 1. Écran Enregistrer l'application d'authentification utilisant le code QR
Capture d'écran du message d'enregistrement de l'application d'authentification, du code QR et du code secret du terminal

Lorsque les utilisateurs se connectent après avoir enregistré leur application d'authentification, ils sont invités à entrer le code secret à six chiffres que l'application d'authentification affiche sur le terminal. Les utilisateurs disposent d'une durée limitée pour saisir le code secret, généralement 30 secondes, avant l'affichage d'un nouveau code secret.

Configurer l'application d'authentification et l'activer dans le fournisseur d'identité intégré

Procédure

  1. Sur la page Intégrations > Méthodes d'authentification de la console Workspace ONE Access, cliquez sur Application d'authentification.
  2. Cliquez sur CONFIGURER.
    Option Description
    Activer l'authentification d'application d'authentification Activez l'option Authentification de l'adaptateur d'application d'authentification.
    Nombre de nouvelles tentatives autorisées Entrez le nombre de fois qu'un utilisateur peut entrer un code secret incorrect avant que la tentative de connexion n'échoue et que l'accès ne soit refusé.

    Cette valeur peut être comprise entre 1 et 15.

    La valeur par défaut est de cinq fois.

    Période de nouvelle tentative Entrez le nombre de minutes dont dispose un utilisateur pour réessayer d'entrer un code secret avant d'être verrouillé.

    Ce délai de nouvelle tentative peut être compris entre 5 et 60 minutes.

    La valeur par défaut est de 5 minutes.

    Délai de verrouillage Entrez le nombre de minutes qu'un utilisateur doit attendre lorsque la valeur de nouvelle tentative est atteinte avant de pouvoir essayer de se connecter de nouveau.

    Ce délai de verrouillage peut être compris entre 5 et 60 minutes.

    La valeur par défaut est de 5 minutes.

    Entrez le texte personnalisé pour l'enregistrement Expliquez à l'utilisateur comment procéder pour se connecter, notamment ce qu'il faut installer et ce qu'il faut faire.

    Exemple de texte.

    Installez une application d'authentification sur le terminal et analysez ce code QR. Entrez le code secret à usage unique affiché dans l'application d'authentification.
    Entrez le texte personnalisé pour la récupération Décrivez ce qu'il faut faire si l'utilisateur ne peut pas se connecter à partir de son application d'authentification.

    Le scénario de connexion par défaut permet à un utilisateur de réessayer d'entrer un code secret 5 fois en 5 minutes avant d'être verrouillé pendant 5 minutes, après lesquelles il peut réessayer.

  3. Cliquez sur ENREGISTRER.
  4. Accédez à Intégrations > Fournisseurs d'identité, puis sélectionnez le fournisseur d'identité intégré.
    1. Dans la section Méthodes d'authentification, sélectionnez Application d'authentification.
    2. Cliquez sur Enregistrer.

Étape suivante

Créez la règle de stratégie d'accès pour utiliser l'application d'authentification comme seconde méthode pour l'authentification à deux facteurs. Reportez-vous à la section Ajouter des règles d'authentification - Stratégie d'accès par défaut de Workspace ONE Access.

Réinitialiser l'enregistrement d'une application d'authentification pour un utilisateur

Lorsqu'un utilisateur vous contacte, car il ne peut pas utiliser l'application d'authentification pour se connecter à l'application Workspace ONE Intelligent Hub ou à une application du catalogue du Hub qui nécessitait une authentification à deux facteurs, vous devez réinitialiser l'application d'authentification enregistrée à partir de la console. Lorsque vous cliquez sur Réinitialiser, l'application d'authentification enregistrée est supprimée. Les utilisateurs sont invités à réenregistrer l'application d'authentification lors de la prochaine connexion.

  1. Sur la page Comptes > Utilisateurs de la console Workspace ONE Access, sélectionnez le nom de l'utilisateur qui demande la réinitialisation.
  2. Dans la section Application d'authentification de l'onglet Authentification à deux facteurs, cliquez sur RÉINITIALISER.
  3. Dans la boîte de dialogue qui s'affiche, cliquez sur RÉINITIALISER pour confirmer l'action.