TOTP (2FA SNS)

La méthode d'authentification 2FA utilisant des mots de passe à usage unique basés sur le temps (TOTP - Time-based One-time Password) permet d'accroître la sécurité des authentifications gérées par le firewall.
Cette sécurisation supplémentaire des accès est embarquée sur le firewall et ne nécessite pas la mise en place d'une solution TOTP tierce. Les utilisateurs soumis à l'authentification TOTP SNS n'ont besoin que d'une application sur leur smartphone ou dans leur navigateur Internet pour générer les codes d'authentification TOTP.

Cette méthode peut notamment être activée pour toutes les authentifications : portail captif, tunnels VPN SSL, interface Web d'administration, connexions console ou SSH, tunnels VPN IPsec / Xauth.

NOTE
Cette méthode 2FA étant embarquée sur chaque firewall, un utilisateur devra utiliser autant de codes TOTP que de firewalls sur lesquels il doit se connecter.

NOTE
Stormshield recommande fortement d'activer la synchronisation de temps via NTP pour le firewall en cochant la case Maintenir le firewall à l'heure (NTP) et en précisant des serveurs NTP (module Système > Configuration > onglet Configuration générale).

Mot de passe à usage unique basé sur le temps (TOTP)

Sélectionner les authentifications gérées par le firewall qui seront soumises au TOTP.
Les types d'authentifications possibles sont :

  • Portail captif,
  • Tunnels VPN SSL,
  • Interface Web d'administration,
  • SSH / Console,
  • IPsec / Xauth.

Paramètres des codes (TOTP)

Ces informations sont présentées sur le portail captif du firewall lors de l'enrôlement TOTP de l'utilisateur.

Mot de passe à usage unique basé sur le temps (TOTP)
Émetteur Vous pouvez préciser l'émetteur du code TOTP (nom de votre entreprise par exemple).
La valeur proposée par défaut est Stormshield Network Security.

Personnaliser le message d’enrôlement des utilisateurs TOTP

Mot de passe à usage unique basé sur le temps (TOTP)
Message à afficher (1024 caractères max.) Vous pouvez définir un message (optionnel) qui sera affiché sur le portail captif du firewall lors de l'enrôlement TOTP de l'utilisateur.
Saisissez ce message dans le champ texte en respectant la limite de 1024 caractères.

Configuration avancée

ATTENTION
Si vous utilisez Google Authenticator ou Microsoft Authenticator, la modification de ces paramètres entraîne un dysfonctionnement de l’authentification TOTP.

Mot de passe à usage unique basé sur le temps (TOTP)
Durée de vie (s) Indiquez la durée de vie d'un code TOTP.
Un nouveau code sera généré automatiquement par l'application de l'utilisateur un fois ce laps temps écoulé.
La valeur proposée par défaut est de 30 secondes.
Taille du code Indiquez la longueur (nombre de caractères) des codes TOTP générés.
La valeur proposée par défaut est 6.
Nombre de codes valides avant et après le code actuel En cas de légère désynchronisation de temps entre le firewall et l'équipement hébergeant la solution de génération des codes TOTP (smartphone, ordinateur), ou pour permettre un délai raisonnable de saisie du code, cette option permet de préciser combien de codes survenus avant ou devant survenir après le code actuellement valide seront également considérés comme valides et acceptés pour l'authentification.
Algorithme de hachage

Sélectionnez l'algorithme de hachage utilisé lors de la génération des codes TOTP.
Les valeurs possibles sont :

  • SHA1,
  • SHA256,
  • SHA512.

La valeur proposée par défaut est SHA1.
 

Les deux boutons présents dans ce cadre permettent de manipuler la base des utilisateurs ayant réalisé leur enrôlement TOTP.
Réinitialiser la base TOTP

En cliquant sur ce bouton, vous pouvez réinitialiser la base complète des utilisateurs ayant réalisé leur enrôlement TOTP.
Les utilisateurs devront donc de nouveau suivre la procédure complète d'enrôlement TOTP lors de leur prochaine authentification.

 

Si vous souhaitez réinitialiser la base TOTP complète :

  1. Cliquez sur le bouton Réinitialiser la base TOTP.
    Une fenêtre d'avertissement s'affiche.
  2. Validez cette action en cliquant sur le bouton Continuer.

NOTE
Réinitialiser la base TOTP nécessite d'être connecté avec le compte admin.
Afficher les orphelins TOTP

Un utilisateur orphelin est un utilisateur présent dans la base TOTP mais qui est introuvable dans les annuaires LDAP configurés sur le firewall et dont la dernière utilisation de code TOTP remonte à au moins 3 mois.

Ce bouton permet d'afficher les utilisateurs orphelins mais aussi de les supprimer de la base TOTP (suppression de tous les orphelins TOTP).

 

Si vous souhaitez afficher les utilisateurs orphelins présents dans la base TOTP :

  1. Cliquez sur le bouton Afficher les orphelins TOTP.
    Une fenêtre de sélection s'affiche.
  2. Sélectionnez dans le calendrier la date de dernière utilisation de code TOTP pour laquelle vous souhaitez afficher les utilisateurs orphelins.
    La date proposée par défaut est la date remontant 3 mois avant la date du jour.
    Les utilisateurs correspondant sont affichés.

Pour supprimer tous les utilisateurs orphelins listés dans cette grille :

  1. Cliquez sur le bouton Supprimer.
  2. Confirmez la suppression de tous les utilisateurs orphelins en cliquant sur le bouton OK.

Pour quitter la grille sans supprimer les utilisateurs orphelins, cliquez sur le bouton Annuler.