YubiKey

YubiKey est un dispositif d'authentification matériel conçu par Yubico pour protéger l'accès aux ordinateurs, aux réseaux et aux services en ligne. Celui-ci génère des mots de passe à usage unique (OTP) qui peuvent être utilisés avec Specops Authentication.

REMARQUE

YubiKey ne peut être utilisé avec Specops Authentication que si YubiKey prend en charge Yubico OTP (mot de passe à usage unique) en tant que fonction de sécurité. Ceux-ci incluent : YubiKey Série 5 et YubiKey série FIPS.

Utilisez les liens suivants pour identifier votre YubiKey et voir ses fonctions.

Configurer YubiKey


Afin de permettre aux utilisateurs de s'authentifier à l'aide de leur YubiKey, celle-ci doit être configurée en tant que service d'identité dans Authentication Web. Cette procédure suppose que l'administrateur dispose également d'une YubiKey enregistrée avec laquelle il peut s'authentifier.

  1. Accédez à la page d'inscription de clé d'API Yubico.
  2. Saisissez l'adresse e-mail de l'administrateur et le mot de passe à usage unique YubiKey, puis cliquez sur Obtenir la clé d'API. Un ID de client et une clé secrète sont affichés sur la page.
  3. Dans Authentication Web, accédez à Services d'identité, et cliquez sur l'icône de configuration à côté de YubiKey dans la liste.
  4. Saisissez l'ID de client et la clé secrète que vous venez de générer dans les champs ID de client Yubico et Clé secrète client Yubico, respectivement.
  5. Générez un autre mot de passe à usage unique YubiKey et saisissez-le dans le champ Code OTP.
  6. Cliquez sur Enregistrer pour enregistrer la configuration

Inscription


Inscription manuelle

Les utilisateurs peuvent inscrire leur appareil YubiKey en accédant à la page d'inscription et en sélectionnant YubiKey. Ils doivent ensuite générer un mot de passe à usage unique en cliquant sur le bouton physique de leur YubiKey pour enregistrer leur appareil auprès de Specops Authentication.

Plusieurs appareils

Les utilisateurs peuvent enregistrer un maximum de 5 appareils distincts avec Specops Authentication. Pour enregistrer des appareils supplémentaires, accédez à la page d'inscription.

REMARQUE
Les utilisateurs peuvent saisir un nom convivial pour chaque appareil afin de les rendre plus facilement identifiables.
REMARQUE
Il est également possible d'avoir plusieurs générateurs de mot de passe à usage unique sur le même appareil avec un appui long et court. Utilisez l'outil d'administration de YubiKey pour modifier les deux emplacements mémoire sur l'appareil : https://www.yubico.com/support/download/yubikey-manager/​​

Inscription par l'administrateur

Les administrateurs peuvent inscrire des appareils à l'aide de l'ID public de l'appareil, qui peut être obtenu auprès de Yubico. Exécutez la commande suivante, avec le nom d'utilisateur et l'identifiant de l'appareil complétés, respectivement (sans crochets) :

Copier
Add-SAYubiKeyEnrollment -Username [user_name] -DeviceId [device_id] -Verbose

Plusieurs appareils peuvent également être importés à l'aide d'un fichier CSV. Les noms de paramètres (Username et DeviceId) doivent être dans les en-têtes et les valeurs séparées par des virgules. Lisez ensuite le fichier dans Powershell et envoyez-le à l'applet de commande (remplacez path_to_csv_file par le chemin d'accès réel au fichier, en omettant les crochets) :

Copier
Get-Content [path_to_csv_file] | ConvertFrom-Csv | Add-SAYubiKeyEnrollment -Verbose

Suppression d'un appareil


Suppression manuelle

Lorsque les utilisateurs ont enregistré plusieurs appareils, les appareils sont répertoriés sous le champ d'authentification. Cliquer sur l'un des appareils affichera des informations sur l'appareil, ainsi qu'un bouton Supprimer. Cliquer sur le bouton supprimera le périphérique.

Les utilisateurs peuvent supprimer l'intégralité de l'inscription en accédant à la page du menu Inscription.

Suppression par l'administrateur

En utilisant le nom d'utilisateur, les administrateurs peuvent supprimer l'inscription à YubiKey pour un utilisateur spécifique. Ceci supprimera tous les appareils associés à cet utilisateur. Pour supprimer le service d'identité, exécutez le script suivant :

Copier
Remove-SpecopsAuthenticationIdentityServiceEnrollment -Username [user_name] -IdentityServiceId Yubikey -Verbose

Authentification avec YubiKey


Pour s'authentifier auprès de YubiKey, les utilisateurs doivent choisir YubiKey sur la page de Specops Authentication, puis cliquer sur le bouton de la YubiKey insérée.