Inscrire les utilisateurs avec un jeton Token2 HOTP

Les jetons Token2 HOTP sont des dispositifs matériels générant des mots de passe à usage unique basés sur HMAC (HOTP) pour l’authentification multifacteur.

Contrairement aux jetons temporels (TOTP), les codes HOTP sont générés de manière séquentielle, ce qui les rend idéaux lorsque les horloges système ne sont pas parfaitement synchronisées.

UserLock gère entièrement la configuration des jetons Token2 HOTP côté serveur, sans aucune configuration nécessaire sur le poste client.

Lors de l’authentification, l’utilisateur n’a qu’à toucher son jeton Token2 : le code d’authentification est saisi automatiquement, éliminant les erreurs de frappe.

Pour utiliser Token2 HOTP avec UserLock :

• Un jeton Token2 compatible HOTP (par exemple Token2 T2F2-ALU).

• Le jeton doit être branché sur un port USB de l’ordinateur lors de la connexion.

• Le premier enrôlement MFA doit être effectué depuis une session locale directe (et non via RDP).

• Une fois configuré, le Token2 peut être utilisé pour les connexions RDP, IIS, SaaS ou VPN.

Avant l’inscription, assurez-vous que la MFA est activée pour le compte utilisateur dans UserLock.

1. Branchez le Token2 HOTP sur le port USB de l’ordinateur.
   (Ne pas se connecter en RDP pour cette étape.)

2. Connectez-vous à la session Windows.

3. Lorsque l’agent UserLock Desktop le demande, sélectionnez Jeton USB comme méthode MFA.

   

4. L’agent détecte automatiquement le Token2:

   

   et le programme avec le secret MFA. Cette opération se fait de manière sécurisée, le secret n’est jamais affiché.

5. Une fois le jeton associé, le bouton Associer le jeton Token 2 indique la réussite de l’opération.

   

6. Le curseur apparaît dans le champ du code d’authentification — touchez simplement le jeton Token2.
   Le code à 6 chiffres est automatiquement saisi et validé.

✅️ L’inscription est terminé. Les prochaines connexions peuvent se faire en RDP ou autres sessions distantes.

Pour les connexions suivantes :

1. Branchez le Token2 HOTP sur un port USB.

2. Connectez-vous à Windows (en local ou via RDP).

3. Lorsque la MFA est demandée, touchez le bouton du Token2:

   

   Le code à 6 chiffres s’affiche automatiquement et l’authentification est validée.

• L’enrôlement doit être effectué en local (pas via RDP).

• Une fois le jeton configuré, l’utilisateur peut se connecter à distance avec son Token2 HOTP.

L’administrateur ou l’utilisateur peut :

• Utiliser une méthode MFA de secours (application d’authentification ou codes de récupération).

Activer l’option Demander de l’aide pour alerter l’administrateur.
Celui-ci pourra alors :

• Réinitialiser la clé MFA

• Désactiver temporairement la MFA

• Aider à activer un jeton de remplacement (par exemple YubiKey)

Si l’utilisateur utilisait auparavant une méthode TOTP :

1. Réinitialisez la clé MFA de l’utilisateur.

2. Reconfigurez la MFA en suivant les étapes de cette page

Choisissez HOTP lorsque :

• Le serveur UserLock est installé sur une machine virtuelle dont l’horloge n’est pas synchronisée régulièrement (par exemple sur Hyper-V).

• Vous souhaitez éviter les problèmes de synchronisation temporelle liés au TOTP.