Qu’est-ce qu’un OTP mail ?
L’OTP permet d’ajouter un second facteur à l’authentification de l’utilisateur. Le principe de l’OTP mail est, qu’après l’authentification des utilisateurs avec leur identifiant et mot de passe, un mail leur est envoyé contenant un code à usage unique, l’utilisateur devra le saisir sur le portail pour pouvoir accéder au portail avec ses ressources.
Comment paramétrer l’OTP mail ?
Créer un nouvel OTP mail
Dans la console Cleanroom il faut rajouter un OTP mail, deux OTP existent :
OTP - email: OTP à utiliser pour se connecter en anonyme au serveur SMTPOTP - email (Auth): OTP à utiliser pour se connecter à l’aide d’un compte au serveur SMTP
⚠️ Le flux part du serveur de médiation, il faut veiller à :
- Ouvrir le flux SMTP entre le ou les serveurs de médiation et le serveur SMTP
- S’assurer que la résolution DNS soit opérationnelle si un nom DNS est paramétré pour accéder au serveur SMTP
Les deux OTP se configurent de la même manière, seul l’OTP authentifiant ajoute des champs supplémentaires pour paramétrer le compte de connexion.
Voici ce qui est attendu dans les différents champs :
Nom: nom de l’OTP ; ce dernier sera visible par l’utilisateur sur le portail cloudDescription: ajout d’une description visible des administrateursCaractères utilisables dans l’OTP: liste des caractères qui seront utilisés pour la génération aléatoire du code OTPLongueur de l’OTP: nombre de caractères du code OTPDurée de validité d’un jeton (en secondes): durée en seconde pour que le code OTP soit saisi par l’utilisateur avant que le code ne soit plus valideMessage avant l’OTP: permet de personnaliser le message dans le corp du mail juste avant l’ajout du code OTPServeur SMTP: adresse du serveur SMTP, peut être une IP ou un nom DNS ; si aucun port n’est défini c’est le port 25 qui sera utilisé implicitementExpéditeur: adresse mail de l’expéditeur du mailStart TLS: activation ou non de start TLSIdentifiant(spécifique à l’OTP mail authentifiant) : indication du nom d’utilisateur avec lequel se connecter au serveur SMTPMot de passe(spécifique à l’OTP mail authentifiant) : mot de passe du compte de connexion au serveur SMTPSujet du mail: personnalisation de l’objet du mail
Affecter l’OTP mail à un domaine Cleanroom
⚠️ L’ajout d’un MFA sur Cleanroom n’est possible qu’au niveau d’un domaine Cleanroom, peut importe l’utilisateur qui se connectera à ce domaine.
Il n’est pas possible avec Cleanroom 4.4 et antérieur d’affecter des MFA au domaine local créé par défaut ainsi que de définir plus d’un OTP par domaine.
Votre nouveau jeton OTP mail pourra être affecté au domaine de votre choix dans les paramétrages de ce dernier :
Voici le détail des 4 options :
Jeton d’authentification: sélection du MFA à appliquer sur le domaineAttribut utilisateur utilisé pour envoyer l’OTP: nom de l’attribut utilisateur dans lequel Cleanroom ira récupérer l’adresse mail de l’utilisateurTemps d’expiration du jeton: temps en jour avant que l’OTP ne soit redemandé à l’utilisateur pour sa connexion au portail cloudRemplacer les caractères de l’OTP par *: permet de cacher la saisie du code OTP par l’utilisateur
ℹ️ L’attribut email peut être défini pour récupérer l’adresse mail indiquée dans les propriétés des utilisateurs locaux.
Point d’attention sur l’utilisation de l’OTP mail
⚠️ L’OTP mail peut suivant le contexte ne pas rajouter de sécurité forte à l’authentification des utilisateurs.
Si les utilisateurs s’authentifient avec leur compte AD et qu’ils doivent récupérer le code dans une boîte mail rattachée à leur compte AD, alors la sécurisation supplémentaire pourra être anecdotique.
Dans ce cas de figure, un attaquant ayant récupéré les identifiants d’un utilisateur pourra aussi récupérer le code OTP en se connectant à la messagerie de l’utilisateur.
Cependant l’OTP mail peut apporter une sécurisation supplémentaire si :
- L’utilisateur se connecte avec un compte local ou un compte différent de sa messagerie
- L’OTP mail est envoyé sur une adresse différente de celle du compte de connexion à Cleanroom