Options de livraison
Les options de livraison de mot de passe à usage unique (OTP) (SMS, application mobile) par défaut fonctionnent parfaitement pour la plupart des utilisateurs. ESA peut également prendre en charge des options de livraison personnalisées.
Dans ESA Web Console, cliquez sur Settings (Paramètres) > Delivery Options (Options de livraison).
Sélectionnez Email (E-mail), ou spécifiez le chemin d’accès à votre script personnalisé grâce auquel vous souhaitez gérer l’approvisionnement ou la livraison de mots de passe à usage unique. Cliquez sur Insert attribute (Insérer un attribut) pour afficher la liste des paramètres disponibles que vous pouvez transmettre à votre script personnalisé. Par exemple, pour livrer le mot de passe à usage unique, vous devez utiliser le paramètre [OTP] (Mot de passe à usage unique). Vous pouvez également spécifier une chaîne personnalisée à transmettre à votre script (voir parameter1 dans la capture d’écran ci-dessus).
Autoriser les commandes
Dans ESET Secure Authentication On-Prem 3.0.21 et versions ultérieures, l’option Use custom application (Utiliser une application personnalisée) nécessite une autorisation de commande.
1.Créez un dossier « authorized_command » dans le dossier qui s’affiche sous le champ de commande. Dans notre exemple, C:\Program Files\ESET Secure Authentication On-Prem\.
2.Conformément aux instructions sous le champ de ligne de commande, créez le fichier « delivery_provisioning.txt » ou « delivery_opt.txt » dans le dossier « authorized_command », puis enregistrez le hachage fourni dans le dossier.
3.Cliquez sur Save (Enregistrer).
Utiliser l’e-mail comme option de livraison/provisionnement par défaut
Pour fournir des mots de passe à usage unique et/ou des informations de provisionnement par e-mail, définissez d’abord les informations d’un serveur SMTP fonctionnel :
1.Dans ESA Web Console, cliquez sur Settings (Paramètres) > SMTP Server (Serveur SMTP), puis complétez les informations requises.
a.Si le protocole SSL/TLS est utilisé, le certificat SSL du serveur SMTP doit être approuvé par le serveur hébergeant le serveur d’authentification.
2.Utilisez l’option Send test email (Envoyer un courrier de test) pour tester la configuration. Si un e-mail est remis à l’adresse e-mail fournie, la configuration est correcte.
3.Dans Settings (Paramètres) > Delivery Options (Options de livraison), sélectionnez Email (E-mail), puis cliquez sur Save (Enregistrer).
4.Activez les mots de passe à usage unique par SMS par utilisateur :
a.Cliquez sur Users (Utilisateurs).
b.Cliquez sur un utilisateur, activez les mots de passe à usage unique par SMS, puis cliquez sur Save (Enregistrer).
5.Si l’auto-inscription est activée, assurez-vous que les mots de passe à usage unique par SMS sont activés dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification par défaut).
Sécurité des options d’authentification ESA propose une large gamme de méthodes d’authentification à 2 facteurs qui s’adaptent aux différentes préférences de nos clients. La méthode la plus sure et la plus facile à utiliser est le push par application mobile (authentification Push). D’autres méthodes sont également très fiables, mais moins pratiques dans certaines situations : mot de passe à usage unique par application mobile, jeton matériel et FIDO. Bien qu’ils soient également disponibles, les mots de passe à usage unique par SMS, ne sont pas considérés comme les plus sûrs, principalement en raison de la sécurité sous-jacente utilisée dans les systèmes de livraison de SMS. Lorsque vous choisissez la livraison de mots de passe à usage unique par e-mail, la sécurité peut-être plus faible selon le schéma d’utilisation. |
Exemple de scénario disponible dans le type de déploiement Active Directory Integration (Intégration Active Directory) - Livraison de mot de passe à usage unique (OTP) via une solution de messagerie personnalisée (application)
Conditions préalables requises
•Connaître les informations SMTP de la passerelle de messagerie que vous souhaitez utiliser pour envoyer l’e-mail contenant le mot de passe à usage unique (OTP)
•Disposer d’un script personnalisé pour l’envoi d’e-mails
•Disposer d’un script .BAT personnalisé dont vous définissez le chemin d’accès dans ESA Web Console, comme illustré dans la capture d’écran ci-dessus. Ce script .BAT va appeler votre script personnalisé qui est censé envoyer l’e-mail
•Chaque utilisateur pour lequel l’authentification à 2 facteurs (2FA) est activée et qui reçoit des mots de passe à usage unique (OTP passwords) par e-mail doit avoir son adresse e-mail définie dans le champ Email (E-mail) de l’onglet General (Général) lors de la consultation de ces informations via l’interface de gestion Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
Informations SMTP Dans l’exemple de script python ci-dessus, smtpserver:port, username et password sont censés être remplacés par les informations SMTP correspondantes. |
Exemple de script .BAT permettant d’appeler le script sendmail.py tout en lui transmettant les paramètres essentiels. Ce fichier est nommé CustomMail.bat
c:\Python\python.EXE c:\work\sendmail.py %1 %2
Conditions préalables requises Cet exemple de scénario part du principe que la bibliothèque python est installée sur votre ordinateur principal sur lequel le composant du serveur d’authentification ESA est installé, et que vous connaissez le chemin d’accès au fichier python.exe. |
Dans le champ Sending OTP by (Envoi du mot de passe à usage unique par), définissez le chemin menant au script CustomMail.bat, sélectionnez les paramètres essentiels tels que [E-mail-Addresses] et [OTP], puis cliquez sur Save (Enregistrer).
Le provisionnement (livraison de l’application mobile) peut être personnalisé de la même manière à l’aide des paramètres [PHONE] et [URL].
Comparaison entre livraison par e-mail et livraison par SMS Par rapport à la livraison par SMS (ou à l’utilisation d’une application mobile provisionnée), la livraison d’un mot de passe à usage unique par e-mail est légèrement moins sécurisée, car l’e-mail peut être lu sur n’importe quel appareil que l’utilisateur possède. Cette méthode ne permet pas de confirmer que le destinataire prévu est le propriétaire du téléphone enregistré (numéro de téléphone). |