Novell Documentation: Nsure Identity Manager 2.0 - Comment fournir aux utilisateurs finals le libre-service Mot de passe oublié

Comment fournir aux utilisateurs finals le libre-service Mot de passe oublié

Lorsque vous utilisez l'assistant de création d'une règle de mot de passe, une invite vous demande quelles sont les fonctions de mot de passe oublié que vous souhaitez fournir à vos utilisateurs finals.

Cette section donne des informations détaillées sur les différentes options possibles et présente des exemples de ce que voit l'utilisateur final lorsqu'il utilise le lien Vous avez oublié votre mot de passe ?.

Cette section contient les informations suivantes :

Ensembles de stimulations

Un ensemble de stimulation est un ensemble de questions auxquelles doit répondre un utilisateur pour prouver son identité au lieu d'utiliser son mot de passe. Un tel ensemble est assigné à une règle de mot de passe et sert de méthode d'authentification de règle de mot de passe. Vous pouvez proposer à vos utilisateurs les ensembles de stimulations comme option en libre-service de mot de passe oublié. Exiger qu'un utilisateur réponde aux questions d'un ensemble de stimulation avant de pouvoir recevoir son mot de passe oublié permet d'obtenir un niveau de sécurité supplémentaire. Pour utiliser un ensemble de stimulation, utilisez la tâche Gérer les règles de mot de passe pour créer une règle de mot de passe et configurer l'option Mot de passe oublié.

Lorsque vous créez une règle de mot de passe, vous pouvez activer l'option en libre-service Mot de passe oublié de façon à ce que les utilisateurs puissent obtenir de l'aide sans avoir à contacter le service d'assistance. Pour rendre les options en libre-service encore plus sûres, vous pouvez créer un ensemble de stimulation et demander à ce que les utilisateurs répondent aux questions de cet ensemble avant de pouvoir obtenir de l'aide. Vous pouvez également spécifier l'opération qui va aider les utilisateurs après qu'ils aient répondu correctement aux questions, par exemple afficher un indice de mot de passe. Ces fonctions en libre-service sont accessibles aux utilisateurs par l'intermédiaire de la console Novell iManager en libre-service. Les différents choix possibles sont décrits à la section Opérations liées à l'option Mot de passe oublié.

La structure des questions de l'ensemble de stimulation peut être définie selon les méthodes suivantes :

Questions définies par l'administrateur :l'administrateur peut créer des questions qui seront soumises à tous les utilisateurs. Leurs réponses, quant à elles, seront uniques.

Questions définies par l'utilisateur : l'administrateur peut spécifier qu'une ou plusieurs questions soient créées par l'utilisateur. Dans ce cas, les questions et les réponses sont uniques pour chaque utilisateur.

Questions obligatoires :les questions de cette liste sont systématiquement soumises aux utilisateurs lorsqu'ils utilisent l'option en libre-service Mot de passe oublié.

Questions aléatoires : les questions de cette liste ne sont soumises qu'une seule fois aux utilisateurs dans leur intégralité, lorsqu'ils configurent l'option Mot de passe oublié en répondant pour la première fois aux questions de l'ensemble de stimulation. Lorsque l'utilisateur doit accéder au mot de passe oublié, seules quelques questions lui sont posées. Le nombre de questions aléatoires posées est déterminé par l'administrateur.

Les réponses des utilisateurs et les questions définies par l'utilisateur sont stockées dans Novell eDirectory par NMAS (Novell Modular Authentication Services).

Voici un exemple de l'écran qui s'affiche lorsque vous créez un nouvel ensemble de stimulation. Vous pouvez choisir vos questions parmi celles proposées par défaut, ou en ajouter d'autres.

Interface de création d'un nouvel ensemble de stimulation

Opérations liées à l'option Mot de passe oublié

Les opérations liées à l'option Mot de passe oublié qui suivent sont fournies dans une règle de mot de passe, à condition que l'option Mot de passe oublié soit activée.

Autoriser l'utilisateur à réinitialiser le mot de passe : après avoir répondu aux questions de l'ensemble de stimulation pour prouver son identité, l'utilisateur est autorisé à définir un nouveau mot de passe. L'utilisateur s'étant authentifié en répondant aux stimulation-questions, il est autorisé à définir un nouveau mot de passe sans avoir à fournir l'ancien. Pour utiliser cette option, l'administrateur doit exiger un ensemble de stimulation, et l'utilisateur doit avoir au préalable configuré l'option Mot de passe oublié dans la console iManager en libre-service en répondant aux questions de stimulation.
Envoyer par messagerie électronique le mot de passe actuel à l'utilisateur : après avoir répondu aux questions de l'ensemble de stimulation pour prouver son identité, l'utilisateur reçoit le mot de passe actuel par messagerie électronique. Pour utiliser cette option, l'administrateur doit activer le mot de passe universel pour la règle, activer l'option Autoriser l'agent utilisateur à récupérer le mot de passe (ces deux options se trouvent dans Mot de passe universel > Options de configuration), puis configurer la notification par courrier électronique comme décrit à la section Configuration de la notification par message électronique. En outre, l'utilisateur doit d'abord avoir configuré l'option Mot de passe oublié dans la console iManager en libre-service en répondant aux questions de stimulation.
Envoyer par messagerie électronique l'indice à l'utilisateur : l'utilisateur reçoit l'indice de son mot de passe par courrier électronique. Pour utiliser cette option, l'administrateur doit configurer la notification par courrier électronique comme décrit à la section Configuration de la notification par message électronique, et l'utilisateur doit avoir au préalable configuré l'option Mot de passe oublié dans la console iManager en libre-service en fournissant un indice de mot de passe.
Afficher l'indice sur la page : l'indice du mot de passe s'affiche sur la console iManager en libre-service. Pour utiliser cette option, l'utilisateur doit avoir au préalable configuré l'option Mot de passe oublié dans la console iManager en libre-service en fournissant un indice de mot de passe.

Indices de mots de passe

Si vous spécifiez une opération liée à l'option Mot de passe oublié et nécessitant un indice de mot de passe, l'utilisateur peut saisir un indice qui lui permettra de se souvenir de son mot de passe. Cet indice est ensuite contrôlé pour vérifier qu'il ne contient pas le mot de passe de l'utilisateur.

L'attribut Indice de mot de passe (nsimHint) est lisible par tous, ce qui permet aux utilisateurs non authentifiés qui ont oublié leur mot de passe d'accéder à leur indice. Les indices de mots de passe peuvent largement contribuer à réduire les appels de demande d'assistance.

Pour des raisons de sécurité, les indices de mot de passe sont contrôlés pour vérifier qu'ils ne contiennent pas le mot de passe de l'utilisateur. Toutefois, un utilisateur peut toujours créer un indice de mot de passe fournissant trop d'informations sur le mot de passe.

Pour améliorer la sécurité lors de l'utilisation des indices de mots de passe :

Autorisez l'utilisateur à n'accéder qu'à l'attribut nsimHint sur le serveur LDAP utilisé pour les options de mot de passe en libre-service.
Exigez que les utilisateurs répondent aux stimulation-questions avant de pouvoir recevoir leur mot de passe.
Rappelez aux utilisateurs de créer des indices de mots de passe qu'eux seuls peuvent comprendre. L'option Message de modification du mot de passe, dans la règle de mot de passe, est l'une des manières de le faire. Reportez-vous à la section Ajout de votre propre message de modification du mot de passe aux règles de mot de passe.

Si vous choisissez ne pas utiliser d'indice de mot de passe, vérifiez que vous ne l'utilisez dans aucune règle de mot de passe que ce soit. Pour empêcher de définir des indices de mots de passe, vous pouvez être plus radical et supprimer totalement le gadget Configuration de l'indice, comme décrit à la section Désactivation du mot de passe par suppression du gadget Indice.

Comment inviter les utilisateurs finals à configurer l'option Mot de passe oublié

Pour certaines des opérations liées à l'option Mot de passe oublié, l'utilisateur final doit configurer un certain nombre de paramètres avant de pouvoir utiliser les options en libre-service Mot de passe oublié. Par exemple, si la règle de mot de passe spécifie qu'un ensemble de stimulation est utilisé pour permettre à un utilisateur de prouver son identité, et si l'opération préconisée est de lui envoyer un indice de mot de passe par courrier électronique, l'utilisateur devra tout d'abord répondre aux questions de l'ensemble de stimulation puis créer un indice de mot de passe avant de pouvoir utiliser les options en libre-service Mot de passe oublié.

Les utilisateurs peuvent configurer ces fonctionnalités dans la console iManager en libre-service, ou vous pouvez exiger que les utilisateurs les configurent par l'intermédiaire des services de post-authentification (dans les pages qui s'affichent lorsque les utilisateurs se loguent à la console iManager en libre-service).

Pour inviter les utilisateurs à configurer ces fonctionnalités au moment du login, sélectionnez l'option Forcer l'utilisateur à configurer les questions de stimulation et/ou l'indice à l'authentification, située dans l'interface des règles de mot de passe au bas de la page Mot de Passe oublié. Cette option est sélectionnée par défaut lors de la création d'une règle.

Interface de paramétrage de l'option Mot de passe oublié

Pour permettre aux utilisateurs de configurer l'option Mot de passe oublié quand ils le souhaitent, vous devez leur fournir l'URL de la console iManager en libre-service, par exemple https://www.mon_serveur_iManager.com/nps.

Configuration des utilisateurs finals dans l'option en libre-service Mot de passe oublié

Le fait pour un utilisateur de cliquer sur le lien Vous avez oublié votre mot de passe ? au moment de son login à la console iManager en libre-service (par exemple https://www.nom_du_serveur.com/nps) ne mène à rien si les conditions suivantes ne sont pas satisfaites :

L'administrateur a configuré une règle de mot de passe dans laquelle l'option Mot de passe est activée.
L'utilisateur a configuré des stimulation-questions ou un indice de mot de passe qu'il a spécifié(es) dans les paramètres de l'option Mot de passe oublié.

La partie de la configuration revenant à l'utilisateur peut être effectuée de deux manières :

Configuration par l'utilisateur de l'option Mot de passe oublié, post-authentification

L'utilisateur peut exiger que l'utilisateur configure les fonctions de l'option Mot de passe oublié après un login réussi. Il doit pour cela sélectionner cette option afin de forcer l'utilisateur à configurer les stimulation-questions et/ou l'indice à l'authentification. Si cette option est sélectionnée et si l'utilisateur n'a pas configuré de questions ou d'indice, les gadgets de configuration Mot de passe oublié s'afficheront la prochaine fois qu'il se loguera via la console iManager en libre-service (par exemple https://www.nom_du_serveur.com/nps). Cette option est appelée la configuration post-authentification.

L'écran suivant présente l'interface de configuration de l'ensemble de stimulation, post-authentification.

L'écran suivant présente l'interface de configuration de l'indice de mot de passe, post-authentification.

Configuration par l'utilisateur de l'option Mot de passe oublié dans la console iManager en libre-service

Lorsque les utilisateurs se loguent par l'intermédiaire du portail, ils entrent dans la console iManager en libre-service, qui leur permet d'accéder aux gadgets de configuration ou de modification des ensembles de stimulations et des indices de mots de passe associés à l'option en libre-service Mot de passe oublié. C'est également ici que les utilisateurs peuvent effectuer modifier leur mot de passe. Les noms des gadgets auxquels les utilisateurs peuvent accéder sont les suivants :

Configuration de l'indice
Répondre aux stimulation-questions
Changer le mot de passe (Universel)

L'utilisateur peut décider de modifier ces gadgets à tout moment. Si aucun indice ni ensemble de stimulation n'est requis dans la règle de mot de passe de l'utilisateur, ce dernier ne pourra pas les modifier. Un message s'affichera pour indiquer que ces options ne sont pas accessibles.

L'illustration suivante présente la page de configuration de l'indice.

Gadget Configuration de l'indice de la console iManager en libre-service

L'illustration suivante présente la page Répondre aux stimulation-questions.

Gadget Répondre aux stimulation-questions de la console iManager en libre-service

Les premières questions listées dans cet exemple sont définies par l'administrateur. Les suivantes le sont par l'utilisateur. L'utilisateur répond aux questions de l'administrateur, puis crée les questions et leurs réponses, comme dans l'exemple suivant :

Gadget Répondre aux stimulation-questions de la console iManager en libre-service et réponses données

L'illustration suivante présente la page Changer le mot de passe (Universel).

Gadget Changer le mot de passe (Universel) de la console iManager en libre-service

Comment exiger la conformité des mots de passe existants

Si un administrateur crée ou modifie une règle de mot de passe, il peut exiger des utilisateurs qu'ils modifient leurs mots de passe, s'ils ne sont plus conformes, lors de leur prochain login via le portail.

Pour cela, ils doivent utiliser une option de la règle de mot de passe située dans l'onglet Mot de passe universel, sous Options de configuration. Cette option s'appelle Vérifier si les mots de passe existants respectent la règle de mot de passe (la vérification se fait lors du login). Par défaut, cette option est désactivée lorsque vous créez une nouvelle règle de mot de passe. L'illustration suivante présente la page sur laquelle se configure cette option.

Interface des options de configuration du mot de passe universel

Si cette option est activée, au prochain login des utilisateurs via le portail, la conformité de leur mot de passe avec la règle sera contrôlée. Si un mot de passe n'est pas conforme, une page comme celle-ci s'affiche, et l'utilisateur n'est pas autorisé à se loguer tant qu'il n'a pas modifié son mot de passe.

Mot de passe réinitialisé post-authentification

Que voient les utilisateurs finals lorsqu'ils ont oublié leur mot de passe ?

Cette section décrit ce que voient les utilisateurs lorsqu'ils utilisent l'option en libre-service Mot de passe oublié.

Après avoir installé les plugs-in iManager fournis avec Identity Manager, le lien Mot de passe oublié s'affiche dans la console iManager en libre-service (par exemple https://www.nom_du_serveur.com/nps), comme illustré ci-dessous.

Page de login affichant le lien Vous avez oublié votre mot de passe ?

Lorsqu'un utilisateur clique sur ce lien, la page suivante s'affiche, dans laquelle il est invité à saisir son nom.

Page Mot de passe oublié permettant de saisir le nom d'utilisateur

Une fois ce nom saisi, ce sont les paramètres définis pour l'option Mot de passe oublié qui déterminent ce que voit l'utilisateur.

Par exemple, si l'administrateur a spécifié dans la règle de mot de passe qu'un ensemble de stimulation devait être utilisé, une page comme celle qui suit s'affiche, et l'utilisateur doit répondre aux questions posées pour prouver son identité.

Page Mode de passe oublié permettant à l'utilisateur de prouver son identité en répondant aux stimulation-questions

Si l'administrateur a spécifié que l'opération liée à l'option Mot de passe oublié à effectuer était Afficher l'indice sur la page, une page comme celle qui suit s'affiche :

Page Mot de passe oublié, affichant un indice de mot de passe

Si l'administrateur a spécifié que l'opération liée à l'option Mot de passe oublié à effectuer était Envoyer par messagerie électronique le mot de passe actuel à l'utilisateur ou Envoyer par messagerie électronique l'indice à l'utilisateur, un message s'affiche sur cette page pour indiquer que le mot de passe ou l'indice a été envoyé. L'utilisateur reçoit un message électronique semblable à celui-ci :

Exemple de message électronique contenant l'indice du mot de passe d'un utilisateur.

Désactivation du lien Mot de asse oublié

Si vous ne souhaitez pas que le lien Vous avez oublié votre mot de passe ? s'affiche sur le portail, vous pouvez le désactiver en procédant comme suit :

Dans iManager, cliquez sur l'icône Configurer pour entrer dans le gadget Administration.
Cliquez sur Configuration de la plate-forme du portail> Gadgets.
Dans la liste des gadgets, sélectionnez le gadget Mot de passe oublié.
Cliquez sur le bouton Modifier, puis sur Configuration. Cliquez sur le bouton Tous les paramètres.
Ajoutez une paire de clés aux paramètres du gadget, comme indiqué dans l'illustration.
```
ShowForgotLink=false
```
Si cette paire de clés n'existe pas dans les paramètres du gadget, la valeur par défaut est true.
Cliquez sur Continuer puis sur Enregistrer à la page suivante pour enregistrer vos modifications.
Redémarrez le serveur Web pour que ces modifications soient prises en compte.

Désactivation du mot de passe par suppression du gadget Indice

L'indice de mot de passe est une méthode destinée à aider les utilisateurs à se souvenir de leur mot de passe, dans le cadre des fonctionnalités de l'option en libre-service Mot de passe oublié. Dans la règle de mot de passe, les opérations liées à l'option Mot de passe oublié et utilisant un indice de mot de passe sont : Envoyer par messagerie électronique l'indice à l'utilisateur ou Afficher l'indice sur la page.

Pour qu'un indice de mot de passe soit utile à quelqu'un ayant oublié son mot de passe, les utilisateurs non authentifiés doivent pouvoir accéder librement à cet attribut (nsimHint). Bien que l'indice du mot de passe soit contrôlé lors de sa création pour vérifier que l'utilisateur n'y a pas fait mention de son mot de passe, vous devez considérer cet accès libre comme un problème de sécurité potentiel.

Si vous ne souhaitez pas utiliser d'indice de mots de passe, choisissez une autre option dans la règle de mot de passe.

De plus, vous pouvez complètement supprimer le gadget Configuration de l'indice si vous le souhaitez.

Après avoir installé les plugs-in Identité Manager pour iManager, utilisez la vue Configurer pour supprimer le gadget Configuration de l'indice.

Dans iManager, cliquez sur l'icône Configurer .
Cliquez sur Configuration de la plate-forme du portail> Gadgets.
Dans la liste des gadgets, sélectionnez Configuration de l'indice.
Cliquez sur Supprimer.

Après avoir supprimé le gadget, l'option Configurer l'indice n'est plus accessible à l'utilisateur. Les services de post-authentification effectuent une requête pour les gadgets existants avant de les ajouter à la liste de suppression. Quel que soit l'état des règles pour les services de post-authentification, si le gadget n'existe pas, le service n'est pas proposé à l'utilisateur par les services de post-authentification ni dans la console iManager en libre-service.

Après avoir supprimé le gadget Indice, vérifiez que vous n'avez sélectionné ni l'envoi de l'indice par message électronique ni son affichage.