Authentification double facteur UJM

Utiliser l'authentification double facteur à l'UJM

Qu’est-ce que le MFA ?

Pour nous connecter à un service en ligne, nous utilisons un identifiant personnel couplé avec un mot de passe afin de prouver notre identité et avoir accès au service hébergé en interne ou dans le cloud.

Mais les mots de passe sont désormais vulnérables et faciles à compromettre, notamment via le phishing.
Pour atténuer les risques liés à l’identité, une couche de sécurité supplémentaire sous la forme d’une méthode de vérification additionnelle est aujourd’hui utilisée par de nombreux prestataires.
Cette méthode est généralement appelée « vérification en deux étapes » ou « Authentification multifacteur (MFA) ».


Quel intérêt ?

Le MFA permet d’améliorer la sécurité de l’organisation car
  - les mots de passe sont vulnérables aux attaques (par force brute),
  - les mots de passe peuvent être volés par des tiers (phishing),
  - il faut protéger les comptes sensibles (administrateurs, données de recherches, ...)


Principe de fonctionnement

L'utilisateur accède à l'interface de gestion de ses préférences (méthodes de MFA) pour indiquer les informations personnelles utiles (numéro de téléphone mobile, adresse de messagerie personnelle).

Les Méthodes MFA

Codes aléatoires à usage unique : Envoi par SMS ou par mail
TOTP : Code à usage unique basé sur le temps et utilisable via de multiples applications sur tout type de terminal
Push : Validation par téléphone (notification) ; Application Esup Auth disponible sur Android et IOS

Configurer votre accès MFA

Pour configurer votre accès MFA, accédez au service numérique  ESUP OTP Manager https://mfa.univ-st-etienne.fr afin d'initialiser vos préférences.
Attention, ce service n'est accessible que sur le réseau filaire de l'Université ou depuis le VPN de l'UJM (nécessaire en Wifi et en mode télétravail).

Dans vos préférences, nous vous conseillons fortement de paramétrer au moins 2 méthodes afin de pouvoir assurer la continuité d'utilisation des services numériques.
Vous pouvez activer au choix : Code par SMS, Code par Courriel, Notification (Esup Auth)

Méthode Code par SMS
Cette méthode s'appuie sur l'usage de votre smartphone.
Elle permet de s'authentifier en double facteur à partir d'un code aléatoire à usage unique envoyé par SMS.
Pour activer la méthode, faites glisser le curseur sur "Activer".
Ajoutez votre numéro de téléphone, puis cliquez sur "ENREGISTRER"
Cliquez sur le bouton "VERIFIER" 
Vous devez recevoir sur votre smartphone un message de test

Méthode Code par Courriel
Cette méthode s'appuie sur l'usage de votre messagerie personnelle et ne nécessite pas l'usage du smartphone.
L'activation de cette méthode vous permettra de vous authentifiez même en cas d'oubli ou de perte (vol) de votre smartphone.
Pour activer la méthode, faites glisser le curseur sur "Activer"
Ajoutez votre adresse de messagerie personnelle, puis cliquez sur "ENREGISTRER"
Cliquez sur le bouton "VERIFIER"
Vous devez recevoir sur votre smartphone un message de test.

Méthode Notification (Esup Auth)
Cette méthode s'appuie sur l'usage de votre smartphone
Vous devez installer sur votre smartphone (Android ou iOS) l'application mobile Esup Auth
Une fois lancée, cette application vous indiquera les étapes.

Méthode Code temporel (TOTP)
Cette méthode s'appuie sur l'usage d'une application compatible TOTP.
Elle permet de s'authentifier en double facteur à partir d'un code à usage unique généré par une application à installer sur votre terminal.
Pour activer la méthode, faites glisser le curseur sur "Activer".
Lors du paramétrage, appuyez sur le bouton 'Générer un QrCode', puis scannez le à l'aide de votre application mobile Esup Auth.
Lors de la prochaine demande d'authentification, vous aurez une fenêtre Esup Auth qui vous indiquera que vous avez une demande de connexion à proximité à valider.
Vous n'aurez plus qu'à l'accepter si c'est bien vous.

Méthode Code par facteur physique (Web Authn)
L’authentification WebAuthn s’appuie sur les dispositifs de déverrouillage intégrés aux ordinateurs, smartphones et tablettes (reconnaissance faciale, digitale, code PIN, modèle, clé de sécurité USB/NFC,…).
Pour activer la méthode, faites glisser le curseur sur "Activer", choisissez votre type de support et enregistrez votre clé.
Lors de la connexion aux ressources de l'établissement, vous serez invités à confirmer votre identité.

F.A.Q.

- Je ne vois aucune méthode : ni code SMS, ni messagerie, ni push.
Allez dans le manager et assurez-vous d'avoir activé au moins l'une des méthodes.
- Je vois bien les méthodes que j'ai activées, mais je ne reçois aucun code.
Re déclenchez un envoi et si c'est toujours pareil, allez vérifier dans les informations fournies (Téléphone, adresse de messagerie personnelle) sur Esup OTP Manager.
- Avec quel outil faut-il scanner les QRCodes ?
Avec l'application mobile ESup Auth à installer sur son smartphone (IOS ; Androïd)
- A chaque fois que je me connecte à mon compte UJM, l'authentification double-facteur me demande un code.
Dans le navigateur Firefox, menu Outils/Paramètres/Vie privée et sécurité :
Paragraphe Cookies et données de sites, cliquez sur "Gérer les exceptions"
Ajoutez univ-st-etienne.fr dans le champ Adresse du site web.
Cliquez sur le bouton "Enregistrer les modifications"
Paragraphe Historique, sélectionner "Utiliser les paramètres personnalisés pour l'historique" et non l'option "Ne jamais conserver l'historique"
- Je vais à l'étranger / Que dois-je faire ?
Les messages SMS sont envoyés depuis une application hébergée dans un centre de données européen utilisé par notre opérateur (Broker).
Si vous utilisez un fournisseur de téléphonie mobile Français ou Européen, vous n'avez pas de modification de configuration à effectuer.
Vous ne pouvez pas ajouter dans l'application ESUP OTP Manager le +33 devant votre numéro de portable, par conséquent, seuls les numéros français sont acceptés.
Comme c'est l'opérateur du broker qui vous envoie le SMS, le coût d'acheminement est facturé à l'UJM/Direction du Numérique.
En cas de déplacement à l'étranger (en particulier en dehors de la zone Europe), il n'y a donc pas de blocage. Assurez-vous d'être en capacité de recevoir les SMS et surtout d'avoir activé d'autres méthodes d'authentification.