Haut

Authentification multifacteur avec ArcGIS

L’authentification multifacteur (MFA) consiste à utiliser plusieurs méthodes, informations d’identification ou facteurs pour valider l’identité d’un utilisateur ou d’un client qui essaie de s’authentifier auprès d’un système. À l’inverse, l’authentification à facteur unique repose sur une seule méthode d’authentification, telle qu’un mot de passe. L’authentification multifacteur peut être utilisée pour s’assurer qu’un identifiant ou une clé secrète volé n’est pas en soi une information suffisante pour usurper l’identité d’un utilisateur.

Un facteur peut être n’importe quelle donnée sécurisable et vérifiable. Plus simplement, il s’agit d’un mot de passe, mais il peut prendre d’autres formes, telles que :

  • Numéros d’identification personnels ou NIP
  • Questions de sécurité : réponse fournie par l’utilisateur qui est validée lors de la connexion (et initialement spécifiée par l’utilisateur)
  • Facteurs biométriques : reconnaissance de l’iris ou des empreintes digitales
  • Un jeton logiciel : le plus souvent, un générateur de nombres aléatoires basé sur un logiciel alimenté avec une entrée spécifique, pour prouver que l’appareil exécutant le logiciel est le seul appareil capable de le générer correctement.
  • Un jeton matériel : souvent un dispositif de sécurité tel qu’un porte-clé conçu pour afficher une chaîne de caractères ou de chiffres identifiable uniquement par cet appareil, afin de prouver que l’utilisateur est en possession de l’appareil.
  • Dispositifs et technologies d’authentification sans mot de passe (FIDO2, par exemple)
  • MFA par SMS : un code est envoyé par SMS à un numéro de téléphone connu et l’utilisateur doit ensuite fournir ce code pour valider l’accès à l’appareil mobile recevant le SMS.
  • MFA logicielle : une autre application, généralement exécutée sur un appareil mobile, reçoit une notification push que l’utilisateur confirme avant que l’accès ne soit accordé.
  • Cartes à puce : également appelées cartes de vérification d’identité personnelle. Elles contiennent souvent un certificat client spécifique.

L’authentification multifacteur (MFA) peut être appliquée à n’importe quelle étape ou à toutes les étapes d’un processus d’authentification. Elle est souvent utilisée lors de l’authentification ou de la vérification initiale, après quoi le système ne demande pas de réauthentification pendant un certain temps. Cela facilite l’accès des utilisateurs et empêche le sentiment de frustration lié au système MFA, lequel peut inciter les utilisateurs à désactiver les facteurs supplémentaires quand cela est possible.

En général, plusieurs facteurs d’authentification sont exigés lors de la première connexion via un certain fournisseur d’identités ou système, en particulier lors de l’utilisation de matériel non reconnu tel qu’un PC public ou un nouvel appareil mobile. Une fois l’identité établie, de nombreux systèmes utilisent un cookie ou une combinaison d’informations sur l’appareil, de données de géolocalisation ou d’adresse IP pour contourner les conditions requises par l’authentification multifacteur lors des prochaines connexions à partir de cet appareil ou de ce système.

Modèles MFA communs

Bien que la mise en œuvre de l’authentification multifacteur puisse prendre de nombreuses formes, les modèles communs pour les systèmes d’entreprise sont les suivants :

  • Le plus souvent, les conditions requises par l’authentification multifacteur sont appliquées au niveau du fournisseur d’identités (IdP). Un IdP fournit des identifiants de connexion basés sur SAML ou OpenID Connect pour ArcGIS Enterprise ou ArcGIS Online.
    • Dans ce scénario, un utilisateur est invité à entrer son facteur supplémentaire pendant le processus de connexion SAML ou OIDC. Cela peut se produire au niveau d’un site ou d’une interface desservi(e) par l’IdP alors que le logiciel ArcGIS n’est pas au courant de l’exigence MFA. Le facteur est exclusivement exigé et validé par l’IdP.
  • MFA pour les comptes ArcGIS Enterprise intégrés
    • Cette option peut être activée pour les comptes ArcGIS Enterprise intégrés. Elle offre aux utilisateurs intégrés la possibilité de configurer l’authentification multifacteur à l’aide d’une application existante telle que Google Authenticator. Pour plus d’informations, reportez-vous à la section Authentification multifacteur dans ArcGIS Enterprise.
  • MFA pour les comptes ArcGIS Online intégrés
    • Comme dans l’exemple ci-dessus, l’authentification multifacteur peut être activée avec des comptes ArcGIS Online intégrés. Pour plus d’informations, reportez-vous à la section Authentification multifacteur dans ArcGIS Online.

Considérations liées à la mise en œuvre de l’authentification multifacteur

  • ArcGIS se fie à un processus d’authentification basé sur OAuth pour les connexions basées sur des applications, y compris Field Maps ou ArcGIS Pro. Cela signifie que l’invite MFA provenant d’un fournisseur d’identités ou d’ArcGIS lui-même est gérée directement pendant ce processus de connexion, dans un navigateur Web intégré ou externe lancé à partir de l’application elle-même. La session de l’utilisateur est établie et maintenue sans aucune autre invite jusqu’à ce qu’il s’authentifie à nouveau. Ce processus de connexion s’exécute généralement dans une fenêtre de navigateur intégrée ou distincte, qui peut gérer les cookies, les redirections et les nombreuses variantes de MFA basées sur le navigateur pour les fournisseurs SAML et OIDC.
  • Pour tout processus impliquant des requêtes régulières sans périphérique de contrôle (telles qu’un processus scripté ou un système d’automatisation de processus) ou une communication back-end de serveur à serveur, veillez à ne pas implémenter l’authentification multifacteur d’une manière qui entraînerait l’échec de ces demandes, car cela pourrait perturber les communications ou l’automatisation de manière inattendue.
  • L’authentification multifacteur activée pour les processus tels qu’une connexion à une base de données, ne sont susceptibles de réussir qu’avec ArcGIS, où elle est explicitement prise en charge. Consultez les notes de mise à jour d’ArcGIS et les conditions requises par votre système de base de données pour vérifier si une prise en charge est possible.

En résumé, il existe de nombreuses définitions différentes de l’authentification multifacteur (MFA) et différentes façons de la configurer dans divers progiciels. Du point de vue d’ArcGIS, l’authentification multifacteur est généralement configurée et entièrement prise en charge au niveau du fournisseur d’identités (IdP) pour les modèles de connexion d’entreprise, ou ajoutée aux processus de connexion intégrés avec ArcGIS Enterprise ou ArcGIS Online.

Top