TOTP (2FA SNS)
La méthode d'authentification 2FA utilisant des mots de passe à usage unique basés sur le temps (TOTP - Time-based One-time Password) permet d'accroître la sécurité des authentifications gérées par le firewall.
Cette sécurisation supplémentaire des accès est embarquée sur le firewall et ne nécessite pas la mise en place d'une solution TOTP tierce. Les utilisateurs soumis à l'authentification TOTP SNS n'ont besoin que d'une application sur leur smartphone ou dans leur navigateur Internet pour générer les codes d'authentification TOTP.
Cette méthode peut notamment être activée pour toutes les authentifications : portail captif, tunnels VPN SSL, interface Web d'administration, connexions console ou SSH, tunnels VPN IPsec / Xauth.
NOTE
Cette méthode 2FA étant embarquée sur chaque firewall, un utilisateur devra utiliser autant de codes TOTP que de firewalls sur lesquels il doit se connecter.
NOTE
Stormshield recommande fortement d'activer la synchronisation de temps via NTP pour le firewall en cochant la case Maintenir le firewall à l'heure (NTP) et en précisant des serveurs NTP (module Système > Configuration > onglet Configuration générale).
Mot de passe à usage unique basé sur le temps (TOTP)
Sélectionner les authentifications gérées par le firewall qui seront soumises au TOTP.
Les types d'authentifications possibles sont :
- Portail captif,
- Tunnels VPN SSL,
- Interface Web d'administration,
- SSH / Console,
- IPsec (Xauth / EAP).
Paramètres des codes (TOTP)
Ces informations sont présentées sur le portail captif du firewall lors de l'enrôlement TOTP de l'utilisateur.
Émetteur | Vous pouvez préciser l'émetteur du code TOTP (nom de votre entreprise par exemple). La valeur proposée par défaut est Stormshield Network Security. |
Personnaliser le message d’enrôlement des utilisateurs TOTP
Message à afficher (1024 caractères max.) | Vous pouvez définir un message (optionnel) qui sera affiché sur le portail captif du firewall lors de l'enrôlement TOTP de l'utilisateur. Saisissez ce message dans le champ texte en respectant la limite de 1024 caractères. |
Configuration avancée
ATTENTION
Si vous utilisez Google Authenticator ou Microsoft Authenticator, la modification de ces paramètres entraîne un dysfonctionnement de l’authentification TOTP.
Durée de vie (s) | Indiquez la durée de vie d'un code TOTP. Un nouveau code sera généré automatiquement par l'application de l'utilisateur un fois ce laps temps écoulé. La valeur proposée par défaut est de 30 secondes. |
Taille du code | Indiquez la longueur (nombre de caractères) des codes TOTP générés. La valeur proposée par défaut est 6. |
Nombre de codes valides avant et après le code actuel | En cas de légère désynchronisation de temps entre le firewall et l'équipement hébergeant la solution de génération des codes TOTP (smartphone, ordinateur), ou pour permettre un délai raisonnable de saisie du code, cette option permet de préciser combien de codes survenus avant ou devant survenir après le code actuellement valide seront également considérés comme valides et acceptés pour l'authentification. |
Algorithme de hachage |
Sélectionnez l'algorithme de hachage utilisé lors de la génération des codes TOTP.
La valeur proposée par défaut est SHA1. |
Les deux boutons présents dans ce cadre permettent de manipuler la base des utilisateurs ayant réalisé leur enrôlement TOTP. |
|
Réinitialiser la base TOTP |
En cliquant sur ce bouton, vous pouvez réinitialiser la base complète des utilisateurs ayant réalisé leur enrôlement TOTP.
Si vous souhaitez réinitialiser la base TOTP complète :
NOTE
|
Afficher les orphelins TOTP |
Un utilisateur orphelin est un utilisateur présent dans la base TOTP mais qui est introuvable dans les annuaires LDAP configurés sur le firewall et dont la dernière utilisation de code TOTP remonte à au moins 3 mois. Ce bouton permet d'afficher les utilisateurs orphelins mais aussi de les supprimer de la base TOTP (suppression de tous les orphelins TOTP).
Si vous souhaitez afficher les utilisateurs orphelins présents dans la base TOTP :
Pour supprimer tous les utilisateurs orphelins listés dans cette grille :
Pour quitter la grille sans supprimer les utilisateurs orphelins, cliquez sur le bouton Annuler. |