Yubikey
Le Yubikey est un dispositif d'authentification matériel fabriqué par Yubico pour protéger l'accès aux ordinateurs, réseaux et services en ligne. Il génère des mots de passe à usage unique (OTP) qui peuvent être utilisés avec Specops Authentication.
Remarque
Yubikey ne peut être utilisé avec Specops Authentication que si le Yubikey prend en charge Yubico OTP (One Time Password) comme fonction de sécurité. Ceux-ci sont: Yubikey 5 Series et Yubikey FIPS Series.
Utilisez les liens suivants pour identifier votre Yubikey et voir ses fonctions.
Configuration de Yubikey
Pour permettre aux utilisateurs de s'authentifier en utilisant leurs Yubikeys, il doit être configuré comme un service d'identité dans Authentication Web. Cette procédure suppose que l'administrateur dispose également d'un Yubikey enregistré avec lequel il peut s'authentifier.
- Allez sur la page d'inscription à la clé API Yubico.
- Entrez l'adresse e-mail de l'administrateur et l'OTP Yubikey, puis cliquez sur Obtenir la clé API. Un ID client et une clé secrète sont affichés sur la page.
- Dans Authentication Web, allez dans Services d'identité, et cliquez sur l'icône de configuration à côté de Yubikey dans la liste.
- Entrez l'ID client et la clé secrète que vous venez de générer dans les champs ID client Yubico et clé secrète client Yubico, respectivement.
- Générez un autre OTP Yubikey et entrez-le dans le champ code OTP.
- Cliquez sur Enregistrer pour sauvegarder la configuration.
Inscription
Inscription manuelle
Les utilisateurs peuvent inscrire leur dispositif Yubikey en allant sur la page d'inscription et en sélectionnant Yubikey. Ils doivent ensuite générer un OTP en cliquant sur le bouton physique de leur Yubikey pour enregistrer leur dispositif avec Specops Authentication.
Plusieurs dispositifs
Les utilisateurs peuvent enregistrer un maximum de 5 dispositifs distincts avec Specops Authentication. Pour enregistrer des dispositifs supplémentaires, allez sur la page d'inscription.
Remarque
Les utilisateurs peuvent entrer un nom convivial pour chaque dispositif afin de les rendre plus facilement identifiables.
Remarque
Il est également possible d'avoir plusieurs générateurs OTP sur le même dispositif en utilisant une pression longue et courte. Utilisez l'outil d'administration Yubikey pour éditer les deux emplacements mémoire sur le dispositif: https://www.yubico.com/support/download/yubikey-manager/
Inscription par l'administrateur
Les administrateurs peuvent inscrire des dispositifs en utilisant l'ID public du dispositif, qui peut être obtenu auprès de Yubico. Exécutez la commande suivante, avec le nom d'utilisateur et l'ID du dispositif remplis, respectivement (sans les crochets):
Plusieurs dispositifs peuvent également être importés en utilisant un fichier CSV. Les noms de paramètres (Username et DeviceId) doivent être dans les en-têtes et les valeurs séparées par des virgules. Ensuite, lisez le fichier dans PowerShell et envoyez-le à la cmdlet (remplacez path_to_csv_file par le chemin réel vers le fichier, sans les crochets):
Suppression de dispositif
Suppression manuelle
Lorsque les utilisateurs ont enregistré plusieurs dispositifs, les dispositifs sont listés sous le champ d'authentification. Cliquer sur l'un des dispositifs révélera des informations sur le dispositif, ainsi qu'un bouton Supprimer. Cliquer sur le bouton supprimera le dispositif.
Les utilisateurs peuvent supprimer l'ensemble de l'inscription en allant sur la page du menu d'inscription.
Suppression par l'administrateur
Avec le nom d'utilisateur, les administrateurs peuvent supprimer l'inscription Yubikey pour un utilisateur spécifique. Cela supprimera tous les dispositifs associés à cet utilisateur. Pour supprimer le service d'identité, exécutez le script suivant:
Remove-SpecopsAuthenticationIdentityServiceEnrollment
-Username [user_name]
-IdentityServiceId Yubikey
-Verbose
Authentification avec Yubikey
Pour s'authentifier avec Yubikey, les utilisateurs doivent choisir Yubikey sur la page Specops Authentication, puis cliquer sur le bouton du Yubikey inséré.