A quoi sert l'onglet MFA ?
Un onglet nommé "mfa" est présent dans les barre des onglets de l'outil users.dsi.uca.fr
Cet onglet MFA permet de:
- gérer, voire débloquer, le dispositif de gestion multifacteur Inwebo Trustbuilder associé au compte d'un usager (code pin, programme authenticator, device enrollés)
- mettre en œuvre les dispositions nécessaires lors de la réinstallation d'un poste d'utilisateur lors que ce dernier n'a enrollé qu'un device, celui qui doit être ré-installé.
De manière générale, la gestion du mfa se fait à travers le programme "authenticator" qui s'utilise sur des devices, de 3 manières:
*device mobile : sur un téléphone mobile
*device desktop : sur un pc
*device navigateur (ou browser) : - utilisé à travers un navigateur enregistré auprès de trusbuilder. Solution non recommandée à l'UCA.
Organisation de l'onglet
L'onglet est divisé en 4 partie.
Partie 1: Information sur le compte
Partie 2: Liste des périphériques enrollés
Partie 3: Déblocage immédiat
Partie 4: Désactiver temporairement le MFA (usage exceptionnel)
Partie 1 : Information sur le compte
Cette partie se présente sous la forme suivante.
Cette partie donne des informations sur l'état du compte de l'utilisateur.
- Le statut du compte qui peut prendre plusieurs valeurs dont le détail n'est utile que pour la gestion interne de Trusbuilder.
A votre niveau, il vous suffit de vous en tenir à l'analyse suivante:
si le statut = 0 l'utilisateur n'a pas encore activé de devices (donc n'a pas initialisé son code pin)
si le statut > 0 l'utilisateur a activé au moins un device donc son code pin a été initialisé (toutefois le mfa n'est vraiment activé sur le compte que si l'utilisateur est intégré au groupe mfa-inwebo)
Vous trouverez par ailleurs dans cette partie :
- La date et l'heure de dernière connexion.
- L'état du code pin soit non encore défini, non bloqué ou bloqué.
Partie 2 : Liste des périphériques (devices) enrollés
Cette partie se présente sous la forme suivante.
Vous trouverez dans cette partie tous les périphériques enrollés par l'utilisateur (l'idéal est d'en avoir au moins 2, une desktop et un mobile).
Il peuvent être de 3 sortes
- périphérique mobiles (téléphone portable)
- périphériques desktop (ordinateur)
- périphériques virtuels (navigateurs) - usage déconseillé
Notez le présence d'un coche verte signifiant un device actif.
Dans certains cas il se peut que le périphérique soit bloqué (signifié sous la forme d'un croix rouge)
Partie 3 : Déblocage Immédiat
Cette partie se présente sous la forme suivante.
Elle vous permet de gérer 2 situations "bloquantes"
- soit vous reinstallez une machine et l'utilisateur n'a pas de second device enrollé, il vous faut donc ré-installer un authenticator et regénérer un code d'activation pour ce nouvel outil (le code pin est toujours valable)
- soit l'utilisateur a grillé son code pin (ou l'a oublié mais ne veut pas le griller volontairement) et il n'a pas enregistrer de numéro de téléphone portable auprès de la RH pour être en autonomie, dans ce cas il s'adresse à sa proximité (c'est le moment de la convaincre de renseigner son portable dans l'ENT)
Dans ce cas de figure vous pouvez générer un code déblocage a rejouer sur son authenticator pour redéfinir son code pin (cela doit se faire en présentiel uniquement pour vérifier l'identité de l'utilisateur)
Partie 4 : Désactiver temporairement le MFA
Cette partie se présente sous la forme suivante.
Cette fonction n'est à utiliser que dans des cas de figures exceptionnels où l'utilisateur, pour une raison indéterminée, ne pourrait pas être débloqué et qu'une situation urgente se présente.
Elle n'est à activer qu'après avoir ouvert un ticket explicitant la situation rencontrée et la situation du compte doit être surveillé de près le temps de la désactivation
L'utilisateur est sorti du mode mfa jusqu'au lendemain.