Authentification des utilisateurs (Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1)

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

Authentification des utilisateurs

Si un utilisateur oublie son mot de passe ou que son mot de passe est réinitialisé, il peut répondre à une ou plusieurs questions d'authentification pour accéder à Identity Manager. Vous établissez ces questions ainsi que les règles qui les régissent, dans une stratégie de compte Identity Manager. Contrairement aux stratégies de mot de passe, les stratégies de compte Identity Manager sont assignées à l'utilisateur directement ou au travers de l'organisation qui lui est assignée (sur les pages Créer un utilisateur et Éditer l'utilisateur).

Pour configurer l'authentification d'une stratégie de compte

Cliquez sur Sécurité dans le menu principal, puis sur Stratégies.

Sélectionnez Stratégie de compte Identity Manager par défaut dans la liste des stratégies.

Les sélections d'authentification sont proposées dans la zone Options de stratégie d’authentification de second niveau de la page.

Important ! Lors de la première installation, l'utilisateur doit se connecter à l'interface utilisateur et fournir les réponses initiales à ses questions d'authentification. Si ces réponses ne sont pas définies, l'utilisateur ne pourra pas se connecter sans son mot de passe.

La stratégie des questions d’authentification détermine ce qui se passe quand un utilisateur clique sur le bouton Mot de passe oublié ? sur la page de connexion ou lorsqu'il accède à la page Changer mes réponses. Authentification des utilisateurs décrit les différentes options.

Option	Description
Tous	Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie et personnalisées.
N’importe lequel	Identity Manager affiche toutes les questions définies par la stratégie et personnalisées. Vous devez spécifier le nombre des questions auxquelles l'utilisateur devra répondre.
Suivant	Exige de l'utilisateur qu'il réponde à toutes les questions définies par la stratégie la première fois qu'il se connecte. Si l'utilisateur clique sur le bouton Mot de passe oublié ? pendant la connexion, Identity Manager affiche la première question. Si l’utilisateur ne répond pas correctement, Identity Manager affiche la question suivante et ce jusqu’à ce que l’utilisateur réponde correctement à une question d’authentification et se connecte, ou soit bloqué pour avoir atteint le nombre limite spécifié de tentatives ratées. Les questions générées par un utilisateur ne sont pas prises en charge pour cette stratégie.
Aléatoire	Permet à l'administrateur de spécifier le nombre des questions auxquelles l'utilisateur devra répondre. Identity Manager sélectionne de manière aléatoire dans la liste des questions définies dans la stratégie et parmi celles définies par l'utilisateur le nombre de questions spécifié et les affiche. L'utilisateur doit répondre à toutes les questions affichées.
À tour de rôle	Identity Manager sélectionne la question suivante de la liste des questions configurées et l'assigne à l'utilisateur. Le premier utilisateur se voit assigner la première question de la liste des questions d'authentification, le second la deuxième question et ainsi de suite jusqu'à ce qu'il n'y ait plus de questions. À ce stade, les questions sont assignées aux utilisateurs en ordre séquentiel. Par exemple, s'il y a dix questions, le 11e et le 21e utilisateurs se verront assigner la première question. Seule la question sélectionnée s'affiche. Si vous souhaitez que l'utilisateur réponde à une question différente à chaque fois, choisissez la stratégie Aléatoire et définissez le nombre de questions sur 1. Les utilisateurs ne peuvent pas définir leurs propres questions d'authentification. Pour plus d'informations sur cette fonctionnalité, reportez-vous à Questions d’authentification personnalisées.

Vous pouvez vérifier vos choix d'authentification en vous connectant à l'interface utilisateur d'Identity Manager en cliquant sur le bouton Mot de passe oublié ? et en répondant à la/aux questions posées.

La Figure 3–8 représente un exemple d'écran d'authentification de compte utilisateur.

Figure 3–8 Authentification de compte utilisateur

Figure représentant un exemple d'écran d'authentification de compte utilisateur

Questions d’authentification personnalisées

Dans la stratégie de compte Identity Manager, vous pouvez sélectionner une option permettant aux utilisateurs de fournir leurs propres questions d'authentification dans les interfaces utilisateur et administrateur. Vous pouvez de plus définir le nombre minimum de questions que l'utilisateur doit fournir et auxquelles il devra répondre pour parvenir à se connecter en utilisant les questions d'authentification personnalisées.

Les utilisateurs peuvent ajouter et changer des questions depuis la page Changer les réponses aux questions d’authentification. Un exemple de cette page est illustré à la Figure 3–9.

Figure 3–9 Changer les réponses : Questions d’authentification personnalisées

Figure représentant un exemple de page Changer les réponses aux questions d’authentification

Ignorer la demande de changement de mot de passe suivant l'authentification par questions

Quand un utilisateur réussit à s'authentifier en répondant à une ou plusieurs questions, il est par défaut invité par le système à fournir un nouveau mot de passe. Vous pouvez cependant configurer Identity Manager pour ignorer cette demande de changement de mot de passe en définissant la propriété de configuration système bypassChangePassword pour une ou plusieurs applications Identity Manager.

Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

Pour ignorer une demande de changement de mot de passe pour toutes les applications après une authentification réussie, définissez la propriété bypassChangePassword comme suit dans l'objet Configuration système.

Exemple 3–2 Définition de l'attribut pour ignorer la demande de changement de mot de passe

<Attribute name="ui" 
 <Object>
   <Attribute name="web">
     <Object> 
       <Attribute name=’questionLogin’>
         <Object>
           <Attribute name=’bypassChangePassword’>
             <Boolean>true</Boolean>
           </Attribute>
         </Object>
       </Attribute>
   ...
 </Object>
...

Pour désactiver cette demande de mot de passe pour une application spécifique, définissez-la comme suit.

Exemple 3–3 Définition de l'attribut pour désactiver la demande de changement de mot de passe

<Attribute name="ui">
  <Object>
    <Attribute name="web">
      <Object>
        <Attribute name=’user’>
          <Object>
            <Attribute name=’questionLogin’>
              <Object>
                <Attribute name=’bypassChangePassword’>
                  <Boolean>true</Boolean>
                </Attribute>
              </Object>
            </Attribute>
         </Object>
       </Attribute>
     ... 
  </Object> 
...