Configurer l'authentification à deux facteurs (2FA ou MFA)

L'authentification à deux facteurs (2FA), également appelée authentification multifacteur (MFA), renforce la sécurité de votre instance Diligent One en demandant aux utilisateurs de saisir un code d'accès temporaire en plus de leur mot de passe. Dans le cas où le mot de passe d'un utilisateur Diligent One aurait été compromis, un hackeur serait incapable de se connecter sans avoir accès à l'application d'authentification 2FA, qui nécessite généralement d'avoir accès au téléphone portable de l'utilisateur.

Autorisations

Seuls les admins système sont habilités à appliquer l'authentification 2FA, à débloquer des comptes et à désactiver l'authentification 2FA.

Fonctionnement

Les admins système peuvent appliquer l'authentification 2FA dans votre instance Diligent One. Une fois l'authentification appliquée, tous les utilisateurs de votre instance se trouveront dans l'incapacité d'accéder à n'importe quelle instance de Diligent One jusqu'à ce qu'ils :

  • Téléchargent une application d'authentification prenant en charge les mots de passe à usage unique basés sur le temps (TOTP)
  • Activent l'authentification 2FA sur leur compte Diligent One en le liant à leur application d'authentification
  • Saisissent leur code dans Diligent One

Types d'authentification 2FA pris en charge

L'authentification 2FA Diligent One est compatible avec la plupart des applications d'authentification qui fournissent un mot de passe à usage unique basé sur le temps (TOTP). Nous avons essayé les applications suivantes et savons qu'elles fonctionnent, mais ce ne sont pas les seules.

  • Google Authenticator
  • Microsoft Authenticator
  • Cisco Duo Mobile
  • Okta Verify
  • Auth0 Guardian
  • LastPass Authenticator

Conséquences d'un échec de connexion

Afin d'éviter les cyberattaques, les utilisateurs ayant des instances avec une authentification 2FA sont limités à cinq saisies de mots de passe erronées et trois saisies de codes d'authentification erronées. À ce stade, Diligent One verrouille leur compte. Un admin système doit ensuite le déverrouiller pour eux.

Vous ne pouvez pas utiliser l'authentification SSO et l'authentification 2FA conjointement

Vous ne pouvez pas utiliser l'authentification à deux facteurs avec l'authentification unique. Si vous avez besoin d'utiliser l'authentification SSO et 2FA, vous devez utiliser la capacité 2FA propre à votre fournisseur d'identification SSO. Si l'authentification SSO est activée, Diligent One ne vous autorise pas à activer l'authentification 2FA. De la même manière, si un membre de votre instance utilise l'authentification 2FA, Diligent One ne vous autorise pas à activer l'authentification SSO.

Si vos utilisateurs accèdent à plusieurs instances

Lorsque vous activerez l'authentification 2FA dans votre instance Diligent One, tous les utilisateurs de cette instance devront utiliser l'authentification 2FA pour accéder à n'importe quelle instance de Diligent One, y compris les instances qui appartiennent à d'autres entreprises.

Appliquer l'authentification 2FA

Suivez les étapes ci-dessous pour activer l'authentification 2FA pour tous les utilisateurs dans votre instance Diligent One.

Préparer les utilisateurs à l'authentification 2FA

  • La plupart des internautes ont déjà utilisé l'authentification 2FA, mais vous ne devriez pas partir du principe que c'est le cas pour tout le monde. Dans la mesure où il s'agit d'un changement majeur, il est recommandé de prévenir les utilisateurs de ce changement et de ce à quoi s'attendre.
  • Réfléchissez à la manière dont vous allez procéder dans les situations exceptionnelles. Par exemple, les utilisateurs qui n'ont pas accès à l'appareil mobile d'authentification doivent-ils s'authentifier en utilisant une application d'authentification sur leur appareil actuel ?
  • Si vous travaillez dans une grande organisation, préparez-vous à assumer les frais supplémentaires liés à l'assistance aux personnes dans le cas où Diligent One devrait verrouiller leur compte.

Passer à l'authentification 2FA

  1. Ouvrez la Barre de lancement.
  2. Si votre entreprise utilise plus d'une instance dans Diligent One, assurez-vous que la bonne instance est active.
  3. Sélectionnez Paramètres de l'organisation > Organisation. Si vous ne voyez pas l'option Organisation, c'est parce que le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d'admin système.
  4. Cliquez sur Mettre à jour l'organisation.
  5. Cliquez sur l'onglet Paramètres de sécurité.
  6. Sous Authentification à deux facteurs à l'échelle de la plateforme, cochez la case Activer.
  7. Cliquez sur Enregistrer les modifications.

L'authentification 2FA est désormais appliquée pour tout utilisateur qui peut avoir accès à l'instance Diligent One. La prochaine fois que vous vous connecterez, vous aurez besoin de configurer l'authentification 2FA pour votre propre compte, comme tout le monde. Pour l'instant, vous restez connecté.

Désactiver l'authentification 2FA dans votre instance

Vous pouvez désactiver l'authentification 2FA dans votre instance Diligent One.

Remarque

Cela ne désactivera pas l'authentification 2FA pour tous les utilisateurs. Chaque utilisateur peut choisir de continuer à utiliser l'authentification 2FA. Vous pouvez également désactiver l'option pour tous.

  1. Ouvrez la Barre de lancement.
  2. Si votre entreprise utilise plus d'une instance dans Diligent One, assurez-vous que la bonne instance est active.
  3. Sélectionnez Paramètres de l'organisation > Organisation. Si vous ne voyez pas l'option Organisation, c'est parce que le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d'admin système.
  4. Cliquez sur Mettre à jour l'organisation.
  5. Cliquez sur l'onglet Paramètres de sécurité.
  6. Sous Authentification à deux facteurs à l'échelle de la plateforme, décochez la case Activer.
  7. Cliquez sur Enregistrer les modifications.

Déverrouiller un compte verrouillé

Si un utilisateur tente de se connecter à de multiples reprises sans succès, Diligent One verrouille son compte. Pour rétablir son accès, un admin système doit le déverrouiller.

  1. Ouvrez la Barre de lancement.
  2. Si votre entreprise utilise plus d'une instance dans Diligent One, assurez-vous que la bonne instance est active.
  3. Sélectionnez Paramètres de l'organisation > Utilisateurs. Si vous ne voyez pas l'option Utilisateurs, le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d'admin système.
  4. Pour trouver l'utilisateur à déverrouiller :
    • Saisissez un nom ou un e-mail dans la zone de recherche.
    • Utilisez des filtres pour limiter la liste des utilisateurs à un sous-ensemble.
    • Cliquez sur le signe Nom, Statut ou Précédent dans les colonnes de date pour trier les utilisateurs.
  5. Cliquez sur le nom de l'utilisateur. Le panneau Informations relatives à l'utilisateur s'ouvre.
  6. Cliquez sur Déverrouiller.

L'utilisateur verrouillé peut à nouveau se connecter à Diligent One.

Désactiver l'authentification 2FA pour un autre utilisateur

Si quelqu'un change d'appareil mobile ou le perd, un admin système peut désactiver l'authentification 2FA pour lui. Si l'authentification 2FA est appliquée, la prochaine fois qu'il s'identifiera, Diligent One l'invitera à renseigner son nouvel appareil dans l'authentification 2FA. Si l'authentification 2FA n'est pas appliquée, cette personne n'aura pas plus besoin d'utiliser cette méthode.

  1. Ouvrez la Barre de lancement.
  2. Si votre entreprise utilise plus d'une instance dans Diligent One, assurez-vous que la bonne instance est active.
  3. Sélectionnez Paramètres de l'organisation > Utilisateurs. Si vous ne voyez pas l'option Utilisateurs, le compte que vous avez utilisé pour vous connecter ne dispose pas de privilèges d'admin système.
  4. Pour trouver l'utilisateur à déverrouiller :
    • Saisissez un nom ou un e-mail dans la zone de recherche.
    • Utilisez des filtres pour limiter la liste des utilisateurs à un sous-ensemble.
    • Cliquez sur le signe Nom, Statut ou Précédent dans les colonnes de date pour trier les utilisateurs.
  5. Cliquez sur le nom de l'utilisateur. Le panneau Informations relatives à l'utilisateur s'ouvre.
  6. Cliquez sur Désactiver l'authentification à deux facteurs (2FA).

L'authentification 2FA est désormais désactivée pour cet utilisateur.

Remarque

Votre application d'authentification ne sait pas si l'authentification 2FA est activée ou non. Chaque utilisateur doit retirer Diligent One de son application d'authentification s'il ne souhaite plus qu'il s'affiche à cet endroit.

Désactiver l'authentification 2FA pour vous-même

Si vous changez d'appareil mobile ou le perdez, vous pouvez désactiver l'authentification 2FA pour votre appareil mobile. Si l'authentification 2FA est appliquée, la prochaine fois que vous vous identifierez, Diligent One vous invitera à renseigner votre nouvel appareil dans l'authentification 2FA.

  1. Ouvrez la Barre de lancement.
  2. Dans la barre de navigation globale, sélectionnez  > Mon profil.
  3. Cliquez sur Annuler l'enregistrement de l'appareil. Une fenêtre contextuelle vous informera que si vous annulez l'enregistrement, vous serez automatiquement déconnecté.
  4. Sélectionnez Annuler l'enregistrement et se déconnecter, ce qui vous déconnectera immédiatement.
  5. Reconnectez-vous à Diligent One et recommencez le processus d'inscription pour accéder à votre compte.