Procédures d'authentification pour accéder à l'interface

Procédures d'authentification pour accéder à l'interface

Nous proposons plusieures procédures différentes d'authentification pour accéder à l'interface :
  • identifiant / mot de passe avec option multi-facteurs via SMS
  • Single Sign On via un Identity Provider en utilisant le protocole SAML2

Dans tous les cas les fonctionnalités suivantes sont applicables quelque soit la méthode d'authentification utilisée :
  • vous pouvez ajouter une limitation par IP de connexion
  • vous pouvez modifier la limite concernant le nombre de tentative de reconnexion après un échec : par défaut a 5
  • vous pouvez modifier le temps d'attente d'une nouvelle reconnexion une fois le nombre de tentative en échec atteint : par défaut a 30
Toutes les tentatives de connexion en succés ou en échec sont stockées et accessibles via l'interface du webmaster.

Les paramétrages sont définis au niveau d'un grid pour tous les utilisateurs de ce grid.


Authentification par identifiant / mot de passe

C'est l'authentification par défaut en respectant les éléments suivants :
  • l'identifiant doit contenir des caractères alphanumériques et peut contenir les symboles . - @ _ et doit être de minimum 3 caractères
  • le mot de passe doit contenir un symbole, un chiffre, une lettre minuscule, une lettre majuscule et doit faire au moins 8 caractères

A la modification d'un mot de passe, il n'est pas possible d'utiliser une ancienne valeur de mot de passe déjà utilisée.Le mot de passe dispose en plus des caractéristiques suivantes :
  • il est encrypté en AES-256
  • en option: il peut-être stocké en hashé/salté via Argo2 en option.
  • en option: forcer une mise à jour du mot de passe pour tous les comptes automatiquement tous les X jours

En option vous pouvez activer l'authentification multi-facteur basée sur l'envoi d'un code unique au moment du login sur le téléphone associé au compte visé. Le compte doit disposé d'un numéro de téléphone valide et doit être renseigné par le support Eulerian.



Authentification SSO

Il est possible de configurer une authentification SSO pour un grid donné.

L'utilisateur doit avoir été déclaré dans l'interface Eulerian quoi qu'il arrive par le webmaster, le webmaster doit ensuite y associer les droits d'accès nécessaires pour les sites concernées.

Le client doit s'assurer que l'identifiant utilisé côté Eulerian est identique au NAMEID défini par son prestataire d'identité.


Limitations

Les options d'intégrations suivantes ne sont pas gérées pour le moment :
    le compte ne peut pas être automatiquement créé, il est nécessaire que le webmaster créé le compte chez Eulerian en s'assurant que le NAMEID utilisé pour l'identifiant de connexion soit bien identique.
    le compte ne peut pas être désactivé depuis le SCIM
    le compte ne peut pas être automatiquement associé a un groupe fournit par le SCIM, si des limitations d'accès à des parties de l'interface sont souhaitées alors il faut le faire pour chacun des comptes concernés


Exemple de configuration SSO via Google

Suivre les indications :  Google - application SAML 

Eulerian utilise la norme SAML2 pour l'authentification SSO.Configurez votre app comme suit :
  • ACS URL : doit être l'url de votre grid de connection sous la forme : https:{grid}.ea.eulerian.com/login
  • Entity Id : doit être exactement eulerian
  • Puis

Il est impératif que la configuration SAML nous renvoie : EMAIL en NAMEID - qui doit correspondre a l'identifiant utilisateur côté Eulerian les attributs email, téléphone, nom & prénom

Une fois l'application configurée - merci d'envoyer au support Eulerian le fichier metadata contenant les informations de votre fournisseur d'identité, nous pourrons le déclarer de notre côté.

Vous pourrez alors vous connecter avec votre prestataire d'identité.