Foire aux Questions
Comment un étudiant est-il intégré pour utiliser le MFA (authentification multifacteurs) ?
Pour l'étudiant, aucune intégration n'est nécessaire. Une fois le MFA configuré et livré, il est utilisé sans aucune intégration supplémentaire.
Comment un administrateur IT intègre-t-il un nouvel étudiant ?
Le MFA est configuré sur le locataire Entra ID. Tous les utilisateurs membres du groupe de sécurité MFA peuvent utiliser le service de MFA avec une carte à codes.
Est-il sûr d'utiliser une carte à codes 10x5 ?
Une carte 10x5 contient 50 codes qui sont sélectionnés aléatoirement à chaque tentative. Cela rend peu probable qu'un attaquant puisse deviner le code. Les cartes à codes 10x10 sont la taille maximale.
Puis-je utiliser différentes longueurs de codes, colonnes et lignes par étudiant ?
Oui, chaque étudiant peut avoir une carte de taille unique et des longueurs de code variables. Cette flexibilité permet une personnalisation selon les besoins individuels. Options:
Lettres majuscules et chiffres | Lettres minuscules et chiffres | Lettres majuscules, lettres minuscules et chiffres
Combien de temps faut-il pour générer des codes pour 20 000 étudiants ?
SHA512 pour 20 000 codes = ~3,5 heures en 10x5. Taille de lot : 100 => ~60 secondes.
Comment les cartes doivent-elles être distribuées ?
Les cartes doivent être distribuées via un moyen fiable et non-électronique, comme un service postal de confiance.
Que se passe-t-il lorsqu'une carte est volée ?
Si une carte est volée, elle peut être immédiatement invalidée à l'aide de l'API d'administration des étudiants.
Comment remplacer une carte existante ?
Lorsqu'une nouvelle carte est créée, l'ancienne carte pour le même utilisateur est automatiquement invalidée.
Comment les codes sont-ils persistés ?
Les codes sont persistés à l'aide d'un HASH : Rfc2898DeriveBytes.Pbkdf2 avec l'algorithme SHA512.
Comment les attaques d'authentification sont-elles empêchées ?
Les tentatives sont limitées à trois par session pour éviter les attaques par force brute.
Quelles permissions sont utilisées par la méthode d'authentification externe pour une application multi-tenants ?
Le processus d'enregistrement de l'application demande uniquement l'accès aux données de profil de l'utilisateur, qui est délégué. Cela signifie que l'application n'aura la permission d'accéder qu'aux informations de profil de l'utilisateur, comme son nom, adresse email et autres détails de base, selon ce qui est autorisé par l'utilisateur. Aucune permission ou accès supplémentaire n'est demandé.
Comment les certificats sont-ils utilisés pour signer les jetons du serveur OpenID Connect ?
Les certificats de cryptage et de signature sont créés et utilisés directement à partir d'un Azure Key Vault sécurisé. L'Azure Key Vault n'est pas accessible sur Internet.
Un OID (représentant un utilisateur) peut-il exister dans différents locataires ?
Non. Chaque OID peut uniquement exister dans un seul locataire.
Un étudiant peut-il utiliser d'autres méthodes d'authentification MFA en plus de la carte à codes ?
Il n'est pas recommandé de prendre en charge plusieurs méthodes d'authentification MFA si la carte à codes est utilisée. Cela entraîne une mauvaise expérience utilisateur dans l'interface Entra ID de Microsoft.
Les lecteurs d'écran sont-ils pris en charge ?
Oui, l'interface utilisateur MFA prend entièrement en charge les lecteurs d'écran et respecte les normes WCAG statiques.
Puis-je utiliser un serveur Exchange sur site avec easyauth.ch ?
Oui, Exchange Hybrid doit être activé et l'authentification moderne hybride (HMA) peut être utilisée. Voir : Comment configurer Exchange Server sur site pour utiliser l'authentification moderne hybride
La boîte de dialogue de connexion peut-elle être personnalisée au-delà du logo et de la couleur ?
Oui, une personnalisation simple est possible. Les éléments HTML suivants peuvent être personnalisés :
Titre de la page de connexion, Sous titre d'aide de connexion, Texte du lien d'aide, Cible du lien d'aide, Affichage de l'ID de carte à codes (optionnel, différents formats), Image pour le logo, Langue par défaut, Nom du service, Nombre de colonnes et de lignes (pour les cartes à codes)
Comment fonctionne le mécanisme de blocage après trois échecs de connexion consécutifs ? Seulement dans easyauth.ch ou également dans Entra ID ?
Après trois tentatives de connexion échouées, le service easyauth.ch est suspendu pendant une minute. Après 12 tentatives, l'utilisateur est notifié, et l'équipe informatique reçoit un e-mail les informant que l'utilisateur a effectué 12 tentatives de connexion échouées. Cette approche protège contre les attaques DDOS sans bloquer complètement l'utilisateur de toutes les fonctions de Entra ID.