Cet article décrit les différentes méthodes d'authentification que vous pouvez définir pour que les administrateurs se connectent à l'Application de gestion Cato. Pour en savoir plus sur les admins, voir Quoi sont Admins et Contrôle d'accès basé sur les rôles (RBAC).
Pour adapter au mieux les exigences de votre organisation, vous pouvez définir les méthodes d'authentification pour le CMA en utilisant les méthodes suivantes :
- SSO (recommandé) - Authentifiez-vous avec le fournisseur Single-Sign On (SSO) qui est configuré pour le compte dans Accès > Single-Sign On
- Identifiants Cato - Connectez-vous avec le nom d'utilisateur (e-mail administrateur) et le mot de passe que vous configurez dans CMA.
- MFA - Lors de l'utilisation des identifiants Cato, les administrateurs utilisent l'Authentification Multi-Facteurs (MFA) avec une application d'authentification. Cette option est activée par défaut pour les nouveaux admins, et est toujours activée pour les admins dans les comptes créés après le 10 décembre 2023.
Vous définissez quelle méthode ou quelles méthodes les administrateurs de l'application de gestion Cato peuvent utiliser pour se connecter. Ces paramètres s'appliquent à tous les administrateurs du compte.
Les outils suivants sont pris en charge pour le SSO avec les administrateurs CMA :
Assurez-vous que votre outil a inscrit sur liste blanche les IP requises. Pour plus de détails, voir CMA IP Allowlist. L'email pour chaque administrateur CMA doit être le même que l'adresse email de leur utilisateur correspondant dans le fournisseur SSO.
Pour configurer les méthodes d'authentification des admins CMA :
- Pour permettre aux admins de s'authentifier avec SSO :
- Suivez la procédure pour votre fournisseur SSO (liens ci-dessus).
- Dans le menu de navigation, cliquez sur Accès > Authentification Unique.
- Dans la section Administrateurs de l'application de gestion Cato, sélectionnez Autoriser la connexion avec l'authentification unique (SSO).
- Cliquez sur Sauvegarder.
- Pour permettre aux admins de s'authentifier avec un nom d'utilisateur et mot de passe :
- Dans le menu de navigation, sélectionnez Compte > Restrictions de Connexion.
- Dans la section Méthode d'authentification de connexion pour l'application de gestion Cato, sélectionnez Autoriser la connexion avec les identifiants utilisateur Cato.
- Cliquez sur Sauvegarder.
Pour fournir une sécurité supplémentaire, vous pouvez configurer les administrateurs pour utiliser l'authentification multifactorielle (MFA) lorsqu'ils se connectent à la CMA. Le MFA utilise une application d'authentification (comme Google Authenticator) pour générer des mots de passe à usage unique sécurisés (OTP) que l'administrateur entre lors du processus de connexion. Sinon, l'administrateur ne peut pas s'authentifier et se connecter à la CMA.
Remarque
Remarques :
- MFA est uniquement pris en charge pour les identifiants utilisateur Cato. Lorsque les admins se connectent avec SSO, vous ne pouvez pas exiger qu'ils saisissent un code MFA.
- Pour les comptes créés après le 10 décembre 2023, MFA est toujours activé pour les admins utilisant l'authentification des identifiants utilisateur Cato.
Pour les comptes qui prennent en charge la désactivation de la MFA, après avoir créé un admin, MFA est activé par défaut pour cet admin. Si le MFA est activé, la première fois que l'administrateur se connecte à la CMA, il est redirigé vers une page Web avec un code QR. L'admin utilise l'application d'authentification pour scanner le code QR, et la MFA CMA est ajoutée à l'application d'authentification.
Vous pouvez réinitialiser les autorisations MFA pour un administrateur. Après avoir réinitialisé les autorisations MFA, l'administrateur ne peut plus utiliser l'application authentifiant actuelle pour se connecter à la CMA. La prochaine fois que l'administrateur se connectera à la CMA, il sera redirigé vers une page Web avec un code QR. L'administrateur utilise l'application d'authentification pour scanner le code QR et le MFA de CMA est ajouté à l'application d'authentification.
Pour réinitialiser les permissions MFA pour un admin :
- Dans le menu de navigation, cliquez sur Compte > Administrateurs.
- Sélectionnez un ou plusieurs administrateurs.
- Dans le menu déroulant Actions, sélectionnez Réinitialiser MFA.
- Dans la fenêtre de confirmation, cliquez sur OK. Une notification par e-mail est envoyée à l'admin.
Par défaut, les administrateurs sont tenus de modifier leurs mots de passe pour le CMA tous les 90 jours et ils reçoivent des notifications par e-mail 14 jours et 3 jours avant la date d'expiration du mot de passe. Lorsque vous activez l'option Le mot de passe n'expire jamais pour un administrateur, cet administrateur n'est jamais obligé de changer son mot de passe.
Les mots de passe admin doivent contenir une lettre en minuscule, une lettre en majuscule, un chiffre, un caractère spécial, et doivent être entre 8 et 32 caractères. De plus, les mots de passe admin ne peuvent pas contenir une adresse e-mail ou être dans notre liste de mots de passe courants (par ex. "Password1!").
Utilisez le paramètre Expiration du mot de passe dans l'écran Restrictions de Connexion pour définir combien de temps le mot de passe de la CMA est valide, avant que l'administrateur ne doive le changer. Le mot de passe peut être valide de 14 à 730 jours.
Ce paramètre ne s'applique pas lorsque l'option Le mot de passe n'expire jamais est activée pour un administrateur.
Si un administrateur est verrouillé hors du compte, utilisez l'option Réinitialiser le mot de passe pour leur permettre de se connecter à nouveau.
Pour réinitialiser le mot de passe d'un administrateur :
- Dans le menu de navigation, cliquez sur Compte > Administrateurs.
- Sélectionnez un ou plusieurs administrateurs.
- Cliquez sur Actions et puis dans le menu déroulant, sélectionnez Réinitialiser le mot de passe.
-
Dans la fenêtre de confirmation, cliquez sur OK.
L'administrateur reçoit un e-mail avec un lien pour changer le mot de passe.
-
Dans l'email, l'administrateur peut cliquer sur le lien ici pour accéder à la fenêtre de changement de mot de passe.
Si l'administrateur reçoit cet e-mail mais n'a pas initié la demande, cliquez sur le lien Ce n'était pas moi.
Vous pouvez exiger que tous les administrateurs ne se connectent qu'à partir d'adresses IP spécifiques.
Pour les comptes qui utilisent des adresses IP de sortie (IPs NATées), vous pouvez permettre aux administrateurs de se connecter à partir de ces adresses IP. Si vous activez la case à cocher pour Autoriser également les connexions à partir des IP NATées, vous devez spécifier les IP dans la zone des IPs de connexion autorisées. Sinon, les administrateurs pourront accéder au CMA depuis n'importe quelle IP.
Pour configurer les restrictions de connexion des admins :
- Dans le menu de navigation, sélectionnez Compte > Restrictions de Connexion.
- Pour ne permettre aux admins de se connecter à CMA qu'à partir d'adresses IP spécifiques :
- Dans la section Restrictions de connexion pour l'application de gestion Cato, dans IPs de connexion autorisées, entrez l'adresse IP à autoriser.
-
Cliquez sur l'icône d'ajout.
L'adresse IP est ajoutée à la liste des IPs de connexion autorisées.
- Pour supprimer une adresse IP autorisée, sélectionnez l'adresse IP puis cliquez sur l'icône de suppression.
- (Optional) Pour permettre aux admins de se connecter depuis une IP traduite, sélectionnez Autoriser également les connexions depuis les IPs NATées.
- Cliquez sur Sauvegarder.
Comprendre la connexion sécurisée avec CAPTCHA
Pour améliorer la sécurité du compte, le flux d'authentification admin pour CMA inclut une protection CAPTCHA. La protection CAPTCHA est invisible pour l'admin et fonctionne en arrière-plan pour empêcher l'accès non autorisé par des bots. Cela garantit une expérience plus sécurisée sans perturber le processus de connexion régulier. Dans de rares cas, les admins peuvent être invités à ressaisir leurs identifiants pour prouver qu'ils sont humains et compléter la connexion. La protection CAPTCHA n'est pas pertinente pour les admins authentifiés par SSO.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.