Configuration de l'authentification sécurisée, des comptes utilisateur et des mots de passe

ccppmop1591
HID_admin_configure_security
Configurez une stratégie de mot de passe, verrouillez ou déverrouillez des utilisateurs et réinitialisez des mots de passe. La gestion de l'authentification est un élément important de votre stratégie de sécurité. En tant qu'administrateur, vous souhaitez interdire aux utilisateurs non autorisés d'accéder aux ressources système ou aux informations confidentielles.
Utilisez les options de compte utilisateur globales suivantes pour configurer les paramètres de session et de mot de passe pour tous les utilisateurs :
Options de session
Vous pouvez limiter le nombre de tentatives de connexion non valides et spécifier la durée d'inactivité des sessions d'utilisateur avant leur déconnexion. Par exemple, définissez une valeur de 3 pour le nombre de connexions non valides qu'un utilisateur peut effectuer et réglez les minutes d'inactivité sur 30.
Options de statut du compte utilisateur
Spécifie le statut d'un ou de plusieurs utilisateurs sur
Actif
,
Inactif
ou
Verrouiller
. Par exemple, un utilisateur prend un congé. Vous pouvez définir son statut sur
Inactif
. Les utilisateurs inactifs ne peuvent pas se connecter et les responsables ne peuvent pas les affecter à des projets. Au retour de l'utilisateur revient, définissez de nouveau son état sur
Actif
.
Options de mot de passe
Vous pouvez adapter les règles de stratégie de mot de passe par défaut
suivantes :
  • Le nom d'utilisateur et le mot de passe doivent être différents.
  • Le mot de passe doit contenir au minimum huit caractères, incluant au moins une majuscule, une minuscule, une valeur numérique et un caractère spécial.
  • Vous pouvez réutiliser un mot de passe, mais uniquement si certaines conditions sont respectées. Par exemple, vous pouvez réutiliser un mot de passe après une autorisation de 60 jours et après l'affectation de quatre autres mots de passe uniques consécutifs.
Vous pouvez également remplacer les règles de stratégie de mot de passe par défaut en sélectionnant l'option
Expression personnalisée
et en spécifiant votre propre expression régulière pour un mot de passe.
Le diagramme suivant décrit la procédure de configuration de l'authentification utilisateur et sa gestion par un administrateur.
Gestion de l'authentification
Manage Authentication
Révision des conditions préalables requises pour la gestion de l'authentification
Les termes
utilisateur
et
ressource
décrivent des concepts similaires pour traiter les données d'une personne dans l'application. (En règle générale, les opérations concernant le projet ont été exécutées par des humains. Toutefois, l'année 2020 approche et nous vivons dans une époque caractérisée par des voitures sans chauffeur, une robotique complexe et d'autres nouvelles technologies. Techniquement, un robot pourrait être une ressource dans l'application et avoir son propre compte utilisateur.) Un
utilisateur
désigne un compte utilisateur qu'une personne utilise pour se connecter à l'application et manipuler l'interface utilisateur. En tant qu'administrateur, vous gérez l'authentification pour les utilisateurs. Une
ressource
représente un utilisateur qui exécute un travail dans l'application pour un ou plusieurs investissements. Les ressources sont ajoutées aux équipes de projet par leur responsable de ressources ou chef de projets.
  • Pour afficher les utilisateurs, les comptes, les mots de passe et les droits d'accès, cliquez sur
    Administration
    ,
    Organisation et accès
    ,
    Ressources
    .
  • Pour afficher les ressources, les compétences, les allocations et les calendriers, cliquez sur
    Accueil
    ,
    Gestion des ressources
    ,
    Ressources
    .
Par exemple, une ressource est affectée à plusieurs tâches dans deux projets. Cette personne se connecte chaque semaine (en tant qu'utilisateur) pour remplir sa feuille de temps (en tant que ressource). L'utilisateur oublie son mot de passe et demande une réinitialisation. Pour réinitialiser son mot de passe, mettez à jour la page
Ressource
sous le menu
Administration
.
En tant qu'administrateur, pour finaliser les procédures décrites dans cet article, exécutez les opérations préalables suivantes :
  • Affectez-vous les droits d'accès suivants :
Administration - accès Administration
-
Configuration de l'application
Administration - Autorisation
Administration - ressources
Ressources - Modifier - Tout
  • Cliquez sur
    Administration
    ,
    Organisation et accès
    ,
    Ressources
    et créez un ou plusieurs utilisateurs.
  • Vérifiez que les utilisateurs ont configuré leurs navigateurs Web sur leurs PC client pour qu'ils acceptent les cookies pour permettre le suivi de session.
Configuration des limites de session générales
Spécifiez les limites de toutes les sessions d'utilisateur afin de bloquer l'accès aux utilisateurs non autorisés. Par exemple, définissez le nombre de saisies de mot de passe non valide qu'un utilisateur peut effectuer avant que son compte soit verrouillé.
Procédez comme suit :
  1. Cliquez sur Administration, et dans Paramètres généraux, cliquez sur Options du système.
  2. Dans la section Options de session, remplissez les champs suivants, puis enregistrez vos modifications :
    • Nombre max. de tentatives de connexion
      Définit le nombre maximum de tentatives de connexion consécutives autorisées avant le verrouillage du compte utilisateur. Pour activer cette option, entrez un nombre supérieur à 0.
      Limites
      : 0 - 99
      Valeur par défaut
      : 0 (option désactivée)
    • Minutes d'inactivité avant la déconnexion
      Définit le nombre de minutes d'inactivité autorisées avant le verrouillage d'un compte d'utilisateur. Pour désactiver cette option, saisissez 0.
      Limites :
      0 - 999
      Valeur par défaut :
      60 (option activée)
      Nous vous recommandons de synchroniser les paramètres d'expiration suivants. Si vous ne synchronisez pas les paramètres d'expiration pour toutes les applications, le paramètre avec le délai d'expiration le plus faible remplacera les autres paramètres.
  • Délai d'expiration de la session d'utilisateur Jaspersoft
    : ce élément concerne les utilisateurs de la fonctionnalité de génération de rapports avancés. Pour modifier le délai d'expiration de la session d'utilisateur Jaspersoft, consultez la documentation relative au serveur Jaspersoft sur la communauté Jaspersoft. Par défaut, le délai d'expiration de la session d'utilisateur Jaspersoft est défini sur 70 minutes.
  • Délai d'expiration de la session d'utilisateur de l'authentification unique
    : affecte les utilisateurs qui font usage de la fonction d'authentification unique avec le produit. Le système d'authentification unique peut utiliser un délai d'expiration de la session passé lequel la session de l'utilisateur du produit doit se fermer.
Configuration des options de mot de passe générales
Configurez les options de mot de passe pour vous assurer que les utilisateurs non autorisés ne peuvent pas identifier facilement les mots de passe. Par exemple, vous pouvez définir une règle spécifiant que les mots de passe doivent inclure un minimum de huit caractères, dont une majuscule et un chiffre.
Procédez comme suit :
  1. Cliquez sur
    Administration
    ,
    Paramètres généraux
    ,
    Options du système
    .
  2. Dans la section
    Modifier les options de mot de passe
    , sélectionnez une valeur pour le champ
    Règles de mot de passe
    .Vous pouvez gérer les règles de mot de passe par
    Stratégie
    ou par
    Expression personnalisée
    .
  3. Pour définir des règles de mot de passe par stratégie, cliquez sur
    Stratégie
    et entrez des valeurs pour les exigences minimum de longueur, de majuscules, de minuscules, de chiffres et de caractères spéciaux. Pour l'option
    Longueur minimum du mot de passe
    , entrez le nombre minimal de caractères pour un mot de passe, entre 5 et 40. L'application invite les utilisateurs à modifier leurs mots de passe en cas de non-respect d'une règle.
  4. Pour définir des règles de mot de passe par expression, cliquez sur
    Expression personnalisée
    et définissez une chaîne d'expression pour tous les mots de passe dans le champ Expression régulière. Le mot de passe créé par un utilisateur doit respecter une ou plusieurs des valeurs de caractères suivantes :
    ^ : indique le début de l'expression.
    (?=.*[a-z]) : tous les caractères alphanumériques minuscules sont autorisés.
    (?=.*[A-Z]) : tous les caractères alphanumériques majuscules sont autorisés.
    (?=.*[~'[email protected]#$%^&*)(-+=]) : tous les caractères spéciaux sont autorisés.
    .{min,max}$ : longueur du mot de passe requise, où min correspond au nombre minimum de caractères requis et max au nombre maximum. Pour spécifier uniquement la longueur minimum, n'indiquez pas le nombre maximum. Pour spécifier uniquement la longueur maximum, n'indiquez pas le nombre minimum. Par exemple, pour spécifier un mot de passe de minimum huit caractères, entrez .{8,}$.
    $ : indique la fin de l'expression.
  5. Pour les expressions personnalisées, vous pouvez également définir un message dans le champ
    Message d'erreur
    . Ce message d'erreur personnalisé s'affiche chaque fois que des utilisateurs entrent un mot de passe au format incorrect. Par exemple :
    Invalid password. Enter a valid password with at least 8 characters, 1 uppercase letter, and 1 number.
  6. Pour appliquer immédiatement la nouvelle stratégie de mot de passe, cliquez sur
    Forcer la modification du mot de passe
    .
    L'application oblige tous les utilisateurs à modifier leur mot de passe à la connexion suivante.
  7. Enregistrez les modifications.
Exemple d'expression
: Définissez une règle qui spécifie qu'un mot de passe peut inclure des caractères majuscules, minuscules, alphanumériques ou spéciaux, et doit comprendre entre 8 et 16 caractères.
^ (?=.*[a-z]) (?=.*[A-Z]) (?=.*[~'[email protected]#$%^&*)(-+=]) .{8,16}$
Définition du statut d'un compte utilisateur
Utilisez la propriété Statut de la ressource pour spécifier si un utilisateur peut se connecter et accéder à l'application.
  • Lorsque vous
    activez
    un utilisateur (une ressource), les chefs de projets et les responsables des ressources peuvent l'ajouter à des projets.
  • Lorsque vous
    désactivez
    un utilisateur, il ne peut plus se connecter et les responsables ne peuvent pas l'ajouter en tant que ressource à des projets. L'application conserve toutes les informations sur les utilisateurs inactifs. Vous pouvez les réactiver ultérieurement.
  • Si le nombre de tentatives infructueuses pour authentifier une session d'utilisateur est trop élevé, le système
    verrouille
    le compte utilisateur pour éviter d'autres tentatives. En tant qu'administrateur, vous pouvez modifier le compte utilisateur et lui rendre l'état
    Actif
    .
Vous pouvez changer l'accès pour un ou plusieurs utilisateurs simultanément.
Si le protocole LDAP est utilisé, vous pouvez changer le statut d'un seul utilisateur à la fois. Pour plus d'informations sur l'authentification et le protocole LDAP, consultez la section Installation ou contactez votre administrateur LDAP.
Procédez comme suit :
  1. Cliquez sur
    Administration
    ,
    Organisation et accès
    ,
    Ressources
    .
  2. Sélectionnez une ou plusieurs ressources et cliquez sur l'un des boutons suivants :
    • Activer :
      active un ou plusieurs utilisateurs pour qu'ils puissent être ajoutés à des projets.
    • Désactiver :
      désactive un ou plusieurs utilisateurs, les empêche de se connecter et empêche les chefs de projets ou les responsables des ressources de les ajouter en tant que ressources à des projets.
    • Verrouiller :
      verrouille un ou plusieurs utilisateurs et les empêche de se connecter.
  3. Enregistrez les modifications.
Avant la version 15.3, lorsqu'un utilisateur verrouillait son compte en entrant un mot de passe erroné au-delà du nombre d'essais autorisés, il en était averti dans la page de connexion. Le message suivant s'affichait :
CMN-10003: Invalid login information. Your account has been locked.
Dans les versions 15.3 et ultérieures, à des fins d'optimisation de la sécurité, le message suivant apparaît :
CMN-01002: User name and password invalid. Note that the password is case-sensitive.
Comme c'est souvent le cas concernant les questions de sécurité, la modification est le fruit d'un compromis. Les tentatives non autorisées ou les verrouillages forcés n'entraînent plus une confirmation involontaire de l'identité du compte utilisateur. Toutefois, les utilisateurs ne savent plus exactement quand est-ce qu'ils ont dépassé un
Nbre max. de tentatives de connexion
, entraînant un verrouillage de leur compte.
Réinitialisation du mot de passe d'un utilisateur
Réinitialisez un mot de passe d'utilisateur lorsque l'utilisateur le perd ou le compromet. Par exemple, si un utilisateur oublie son mot de passe, vous pouvez lui fournir un mot de passe temporaire. L'utilisateur peut alors le modifier lors de sa prochaine connexion. En cas de tentatives d'authentification infructueuses, un utilisateur peut être verrouillé et ne plus avoir accès à l'application. En tant qu'administrateur, vous pouvez réactiver l'utilisateur, lui affecter un nouveau mot de passe temporaire et l'obliger à définir un nouveau mot de passe lors de sa prochaine connexion.
Si vous utilisez le protocole LDAP pour l'authentification, utilisez-le pour gérer les réinitialisations de mot de passe. Pour plus d'informations sur l'authentification et le protocole LDAP, consultez la section Installation ou contactez votre administrateur LDAP.
Procédez comme suit :
  1. Cliquez sur
    Administration
    ,
    Organisation et accès
    ,
    Ressources
    .
  2. Ouvrez une ressource.
  3. Entrez un mot de passe temporaire dans les champs
    Mot de passe
    et
    Confirmer le mot de passe
    .
  4. Envoyez à l'utilisateur un courriel contenant le mot de passe temporaire.
  5. Pour vous assurer que l'utilisateur réinitialise le mot de passe temporaire lors de sa prochaine connexion, sélectionnez la case à cocher
    Forcer la modification du mot de passe
    .
  6. Enregistrez les modifications.
Réinitialisation forcée du mot de passe d'un utilisateur
Forcez un utilisateur à réinitialiser son ancien mot de passe par un nouveau lorsque ses informations d'identification ont été compromises.
Si vous utilisez le protocole LDAP pour l'authentification, utilisez-le pour gérer les réinitialisations de mot de passe. Pour plus d'informations sur l'authentification et le protocole LDAP, consultez la section
Installation et mise à niveau
ou contactez votre administrateur LDAP.
Procédez comme suit :
  1. Cliquez sur
    Administration
    ,
    Organisation et accès
    ,
    Ressources
    .
  2. Ouvrez une ressource.
  3. Sélectionnez
    Forcer la modification du mot de passe
    .
  4. Enregistrez les modifications.
    Lors de sa prochaine connexion, l'utilisateur doit s'authentifier avec ses informations d'identification actuelles et ensuite choisir un nouveau mot de passe.
Réinitialisation forcée du mot de passe de tous les utilisateurs
Vous pouvez inviter tous les utilisateurs à réinitialiser leur mot de passe lors de leur prochaine connexion. Par exemple, pour renforcer la politique de sécurité, vous augmentez la longueur minimum du mot de passe de six à huit caractères. Après cette modification, vous pouvez obliger tous les utilisateurs à changer leurs mots de passe conformément à la nouvelle politique.
Procédez comme suit :
  1. Cliquez sur
    Administration
    ,
    Paramètres généraux
    ,
    Options du système
    .
  2. Dans la section
    Modifier les options de mot de passe
    , cliquez sur
    Forcer la modification du mot de passe
    .
  3. Enregistrez les modifications.