Paramètres MFA

Cette page détaille les paramètres globaux MFA (Authentification Multi-Facteurs) de UserLock. Ces options s’appliquent à tous les comptes utilisateurs pour lesquels la MFA est activée.

Publié le 28 août 2025
Note

  • Pour accéder à cette page, allez dans Paramètres du serveur ▸ MFA.

  • Vous devez disposer d’au moins une autorisation de lecture sur les paramètres du serveur pour afficher cette page.

Méthodes MFA

Sélectionnez les méthodes de MFA qui seront disponibles pour vos utilisateurs.

Plusieurs méthodes peuvent être activées en même temps afin d’offrir davantage de flexibilité et de sécurité.

Method

Description

Notifications Push

Nécessite l’application mobile UserLock Push (iOS/Android). Les utilisateurs reçoivent une demande sur leur smartphone pour approuver ou refuser la tentative de connexion.

Application d’authentification

Compatible avec toute application basée sur TOTP (ex. Google Authenticator, Microsoft Authenticator, Authy). L’utilisateur s’inscrit en scannant un QR code puis saisit un code temporel à chaque connexion.

Clés USB

  • Tokens matériels programmables (ex. Token2) générant des codes TOTP pré-programmés lors de l’installation. Adapté aux environnements où les appareils mobiles sont interdits.

  • Tokens HOTP: Tokens physiques à mot de passe à usage unique basés sur un compteur (ex. Token2 HOTP). Le code s’incrémente à chaque utilisation.

  • YubiKey (mode OTP): Les YubiKeys compatibles peuvent générer des mots de passe à usage unique. L’utilisateur insère la clé et appuie dessus pour saisir le code MFA.

Méthode MFA alternative

Permet ou impose aux utilisateurs d’enregistrer une seconde méthode MFA au cas où la méthode principale serait indisponible.

Codes de récupération

Permettent aux utilisateurs de disposer d’un accès de secours lorsque leur méthode de MFA principale est indisponible.

  • Chaque utilisateur reçoit un lot de codes à usage unique (entre 4 et 20) lors de l’inscription MFA.

  • Les codes sont générés automatiquement et doivent être conservés de manière sécurisée par l’utilisateur.

  • Chaque code ne peut être utilisé qu’une seule fois et agit comme un substitut temporaire au second facteur.

MFA pour les sites web sur serveurs IIS

UserLock peut imposer l’authentification multifacteur (MFA) aux applications web hébergées sur Microsoft IIS grâce à l’agent IIS UserLock intégré.

  • Ajoute une seconde couche d’authentification après l’authentification Windows, sans modifier l’application elle-même.

  • Les utilisateurs sont sollicités pour la MFA en fonction des stratégies configurées.

  • L’agent IIS doit être installé et configuré sur le serveur web.

  • La MFA doit être activée dans UserLock pour les utilisateurs concernés.

Ressources utiles

Bouton "Demander de l'aide"

Le bouton Demander de l’aide permet aux utilisateurs de solliciter l’assistance d’un administrateur s’ils ne parviennent pas à réaliser la vérification MFA (ex. perte de l’appareil, absence de réseau).

Cette option est disponible directement dans les fenêtres MFA et lors de l’inscription.

  • Envoie une notification (par email ou popup, selon la configuration) aux administrateurs UserLock.

  • Les destinataires administrateurs peuvent être définis manuellement (via une recherche LDAP de noms de machines ou via adresses email).

Les demandes apparaissent dans la page Demandes d’aide MFA de la section Activité, où les administrateurs peuvent :

  • Désactiver temporairement la MFA pour l’utilisateur.

  • Réinitialiser la configuration MFA de l’utilisateur.

  • Marquer la demande comme résolue une fois le problème traité.