Code source wiki de Sécurité
Modifié par Doriane Bautista le 2023/09/08 17:05
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{box title="**Sommaire**"}} | ||
| 2 | {{toc/}} | ||
| 3 | {{/box}} | ||
| 4 | |||
| 5 | = Sécurisation des mots de passe = | ||
| 6 | |||
| 7 | |||
| 8 | Il est possible de configurer des règles de saisies pour les mots de passe. | ||
| 9 | |||
| 10 | Les règles pouvant être gérées sont les suivantes : | ||
| 11 | |||
| 12 | * Un nombre minimum de caractères | ||
| 13 | * Le mot de passe doit contenir au moins une lettre majuscule | ||
| 14 | * Le mot de passe doit contenir au moins une lettre minuscule | ||
| 15 | * Le mot de passe doit contenir au moins un chiffre | ||
| 16 | * Le mot de passe doit contenir au moins un caractère spécial parmi la liste suivante : ``~~ ! @ # $ % ^ & * ( ) _ ]`` | ||
| 17 | |||
| 18 | Vous pouvez choisir une de ces règles ou les combiner. | ||
| 19 | |||
| 20 | |||
| 21 | (% style="text-align:center" %) | ||
| 22 | [[image:1694185211672-960.png||class="img-thumbnail" height="353" width="862"]] | ||
| 23 | |||
| 24 | (% class="\" style="text-align: center;" %) | ||
| 25 | (% class="\" %)//Contrôle lors de la fiabilité du mot de passe lors de la saisie d’un nouveau lecteur// | ||
| 26 | |||
| 27 | La vérification est active et identique lors de la saisie d’un utilisateur ou d’un lecteur ainsi que via le menu de modification du mot de passe. | ||
| 28 | |||
| 29 | |||
| 30 | De plus, il est possible d'afficher en clair temporairement la saisie du mot de passe, en cliquant sur le bouton représentant un œil en fin de ligne. | ||
| 31 | |||
| 32 | (% style="text-align:center" %) | ||
| 33 | [[image:1694185364073-898.png||class="img-thumbnail" height="360" width="860"]] | ||
| 34 | |||
| 35 | (% class="\" style="text-align: center;" %) | ||
| 36 | (% class="\" %)//Visualisation temporaire du mot de passe// | ||
| 37 | |||
| 38 | (% class="\" %) | ||
| 39 | __La Mise en oeuvre du paramétrage (voir le fichier conf/system/admin/app.xml - nous conseillons d'externaliser la section **security/password/rules** les modifications dans external-conf)__ | ||
| 40 | |||
| 41 | (% class="\" %) | ||
| 42 | [[image:1597331504048-592.png||height="\" width="\"]] | ||
| 43 | |||
| 44 | Enfin, le mot de passe est automatiquement salé. | ||
| 45 | |||
| 46 | (% class="\" %) | ||
| 47 | ((( | ||
| 48 | Un nouveau sel est utilisé lors de la création d'un nouveau mot de passe ou lors de la modification du mot de passe. | ||
| 49 | ))) | ||
| 50 | |||
| 51 | (% class="\" style="\" %) | ||
| 52 | ((( | ||
| 53 | Le salage permet de renforcer la sécurité des mots de passe en ajoutant une donnée supplémentaire au hachage afin d’empêcher que deux informations identiques aboutissent au même résultat lors du chiffrement. | ||
| 54 | ))) | ||
| 55 | |||
| 56 | |||
| 57 | (% class="\" id="HAuthentificationSSO-ADFS" %) | ||
| 58 | = Authentification SSO - AD FS = | ||
| 59 | |||
| 60 | |||
| 61 | Il est possible de sécuriser l’accès à l'application Flora par le biais d’une authentification unique (Single Sign One) AD FS en utilisant le protocole SAML. | ||
| 62 | |||
| 63 | ((( | ||
| 64 | (% class="\" %) | ||
| 65 | ((( | ||
| 66 | « Active Directory Federation Services (littéralement, services de répertoires actifs fédérés), ou ADFS, est un composant de logiciel publié par Microsoft en 2003. | ||
| 67 | |||
| 68 | Sa principale fonction est de permettre aux utilisateurs de Windows d’exploiter une fonction de Single Sign-On (SSO, ou authentification unique) pour une multitude de systèmes et d’applications. | ||
| 69 | |||
| 70 | Les versions les plus récentes d’ADFS se fondent sur un protocole nommé SAML 2.0 (Security Assertion Markup Language, ou langage de balisage d’assertion de sécurité) qui permet l’échange sécurisé de données d’authentification et d’autorisation. ». | ||
| 71 | |||
| 72 | //[Extrait de la page d’URL consulté le 09 septembre 2023 https:~/~/uplandsoftware.com/cimpl-fr/resources/blogue/5-choses-vous-devez-connaitre-sur-adfs/]// | ||
| 73 | ))) | ||
| 74 | ))) | ||
| 75 | |||
| 76 | |||
| 77 | = Accès utilisateurs = | ||
| 78 | |||
| 79 | |||
| 80 | == Réinitialisation du mot de passe == | ||
| 81 | |||
| 82 | |||
| 83 | (% class="box warningmessage" %) | ||
| 84 | ((( | ||
| 85 | //Selon le contexte d'utilisation, la modification du mot de passe pour l'utilisateur n'est pas toujours souhaitable (utilisation d'un LDAP, SSO). Il est possible d'activer ou de désactiver la fonctionnalité globalement pour tous les utilisateurs.// | ||
| 86 | ))) | ||
| 87 | |||
| 88 | |||
| 89 | Après une authentification échouée, il est possible de réinitialiser son mot de passe. | ||
| 90 | |||
| 91 | (% style="text-align:center" %) | ||
| 92 | [[image:1694184460012-367.png||class="img-thumbnail" height="481" width="689"]] | ||
| 93 | |||
| 94 | |||
| 95 | (% class="\" %) | ||
| 96 | Une page propose la saisie du code de l’utilisateur qui souhaite réinitialiser son mot de passe. | ||
| 97 | |||
| 98 | (% style="text-align:center" %) | ||
| 99 | [[image:1694184502230-316.png||class="img-thumbnail" height="188" width="695"]] | ||
| 100 | |||
| 101 | |||
| 102 | Lorsque l'on clique sur [[image:1694184538141-544.png||class="img-thumbnail" height="35" width="48"]] , un mail est envoyé à l'utilisateur. | ||
| 103 | |||
| 104 | (% class="box infomessage" %) | ||
| 105 | ((( | ||
| 106 | (% class="\" %)//La demande de réinitialisation va activer l’envoi d’un mail.// | ||
| 107 | ))) | ||
| 108 | |||
| 109 | |||
| 110 | (% style="text-align:center" %) | ||
| 111 | [[image:1694184656481-190.png||class="img-thumbnail" height="267" width="692"]] | ||
| 112 | |||
| 113 | (% class="\" style="text-align: center;" %) | ||
| 114 | (% class="\" %)//Mail reçu à l’adresse spécifiée dans la notice utilisateur// | ||
| 115 | |||
| 116 | L'utilisateur doit alors cliquer sur le lien pour activer un nouveau mot de passe. | ||
| 117 | |||
| 118 | |||
| 119 | (% class="\" %) | ||
| 120 | (% class="\" %)//Interface de modification du mot de passe// | ||
| 121 | |||
| 122 | |||
| 123 | Par défaut, le lien reste valide 5 jours et il est possible de limiter le périmètre d'intervention d'un utilisateur connecté par jeton aux pages de réinitialisation du mot de passe. | ||
| 124 | |||
| 125 | Pour rappel, la fonctionnalité de réinitialisation du mot de passe est (ou non) accessible via les entrées suivantes : | ||
| 126 | |||
| 127 | * Page de login (jsp/index.jsp) | ||
| 128 | * Menu : Général / Modifier son mot de passe | ||
| 129 | * Menu Administrer : Accès / Utilisateur / Changer le mot de passe | ||
| 130 | * Menu : Accès / Modifier son mot de passe | ||
| 131 | |||
| 132 | == Pré-sélection du site de connexion dans les formulaires de recherche == | ||
| 133 | |||
| 134 | |||
| 135 | Le site de connexion est conservé lors de l'authentification Flora afin de positionner le focus sur le site en question dans les formulaires de recherches. | ||
| 136 | |||
| 137 | |||
| 138 | == Restriction des connexions professionnelles à des plages d'adresses IP == | ||
| 139 | |||
| 140 | |||
| 141 | Il est maintenant possible de restreindre l'accès des professionnels en fonction de l’adresse IP de la machine avec laquelle il se connecte à Flora. | ||
| 142 | |||
| 143 | Ceci permet une plus grande sécurisation des accès à Flora, dans le cadre d’une gestion renforcée des accès. | ||
| 144 | |||
| 145 |