Accueil Blog (en) Mardi technique: Authentification multifacteur via l’authentification unique dans Acumatica Cloud ERP

Mardi technique: Authentification multifacteur via l’authentification unique dans Acumatica Cloud ERP

Doug Johnson | Août 28, 2022

L’article du mardi technique d’aujourd’hui résume les techniques d’authentification multifacteur et explique les stratégies et les meilleures pratiques pour la mise en œuvre de l’authentification multifacteur dans L’ERP cloud Acumatica.

Les entreprises soucieuses de la sécurité ont besoin d’une authentification multifacteur pour vérifier l’identité des utilisateurs avant de leur permettre d’accéder à des données ERP sensibles. Acumatica cloud ERP fournit des mécanismes pour prendre en charge l’authentification multifacteur afin d’empêcher l’accès non autorisé au système.

Mardi technique: Authentification multifacteur via l’authentification unique dans Acumatica Cloud ERP

Options d’authentification multifacteur

L’authentification multifacteur implique deux mécanismes d’authentification ou plus. Une liste d’options d’authentification est répertoriée ci-dessous.

  • Nom d’utilisateur / Mot de passe
    • Le mécanisme d’authentification le plus élémentaire exige que les utilisateurs entrent un nom d’utilisateur et un mot de passe.
    • Des options supplémentaires telles que la validation de l’adresse IP et les exigences de mot de passe fort offrent une sécurité supplémentaire.
  • Jeton, FOB
    • Les utilisateurs portent un périphérique de jeton qui affiche un code qui est régulièrement mis à jour. L’utilisateur tape le code dans le système ERP (Enterprise Resource Planning) qui vérifie le code. Les jetons RSA SecurID en sont un exemple.
  • Téléphones mobiles
    • Le système ERP envoie un message texte au téléphone mobile de l’utilisateur. L’utilisateur vérifie son identité directement sur son téléphone ou en entrant un code d’accès dans l’application sur l’appareil qu’il utilise pour accéder au système ERP.
    • Une autre option consiste à installer une application sécurisée sur le téléphone qui se comporte comme un jeton.
  • Courriel
    • Lors de la connexion, le système envoie un code à l’adresse e-mail de l’utilisateur. L’utilisateur entre un code dans l’e-mail pour s’authentifier.
  • Carte à puce ou périphérique USB
    • Le matériel émis par l’organisation peut être configuré pour accorder l’accès lorsqu’une carte est glissée ou lorsqu’un périphérique USB ou une puce est inséré.
  • Lecteur d’empreintes digitales ou dispositif biométrique
    • Les appareils biométriques fonctionnent comme des cartes à puce. Ils nécessitent une configuration initiale mais ne peuvent pas être perdus ou volés.
  • VPN
    • Le VPN a son propre mécanisme d’authentification qui fournit une couche de sécurité au niveau de la communication. Les VPN peuvent être authentifiés à l’aide de mots de passe, de jetons, d’adresses Mac et d’autres méthodes.

En combinant deux mécanismes ci-dessus, les entreprises peuvent obtenir une authentification à deux facteurs. La plupart des mécanismes à deux facteurs nécessitent quelque chose que vous connaissez (mot de passe) plus quelque chose que vous avez (jeton, téléphone mobile, USB) ou quelque chose que vous êtes (empreinte digitale ou autre biométrie).

Authentification multifacteur adaptative (intelligente)

Souvent, il y a un compromis entre la sécurité et la convivialité. La sécurité supplémentaire associée à l’authentification multifacteur se fait au détriment des utilisateurs qui se connectent deux fois au lieu d’une.

Pour améliorer la convivialité, certains systèmes multifactoriels ont été configurés pour sélectionner plusieurs mécanismes d’authentification uniquement lorsque le profil de risque de l’entrée dans le système est élevé. Le profil de risque peut être défini en fonction des informations recueillies sur l’environnement de l’utilisateur, telles que l’adresse MAC de la machine, l’adresse IP, les cookies de navigateur, l’heure de la journée et d’autres modèles.

Voici quelques exemples de profils de risque :

  • Risque faible : Connectez-vous à partir d’une adresse IP de bureau à 9h en semaine à l’aide d’un navigateur avec un cookie stocké.
  • Risque moyen : Connectez-vous à partir d’une adresse IP inconnue
  • Risque élevé : Connectez-vous à partir d’une adresse IP inconnue, après les heures d’ouverture, à l’aide d’une machine inconnue

Selon le niveau de risque, l’authentification multifacteur peut ne pas être requise. L’apprentissage automatique peut être utilisé pour analyser les connexions échouées et ajuster les niveaux de risque.

Authentification multifacteur dans Acumatica cloud ERP

Voici les stratégies d’authentification multifacteur dans Acumatica cloud ERP.

Authentification unique

La meilleure façon d’implémenter l’authentification multifacteur dans Acumatica cloud ERP est de tirer parti de la prise en charge par Acumatica des capacités d’authentification unique (SSO). Acumatica logiciel infonuagique ERP prend actuellement en charge l’ESP avec Microsoft, Google et OneLogin (nécessite l’installation d’une personnalisation). Ces fournisseurs prennent en charge l’authentification multifacteur.

Dans ce modèle, les utilisateurs se connectent à un fournisseur ci-dessus à l’aide de plusieurs options d’authentification. Ensuite, l’utilisateur est connecté de manière transparente à Acumatica à l’aide de l’authentification unique.

Capacités de l’utilisateur à signe unique Acumatica

RPV

Une stratégie alternative consiste à configurer un VPN. Le VPN est la première couche d’authentification tandis que le nom d’utilisateur et mot de passe D’Acumatica agit en tant que deuxième couche.

Mise en œuvre de l’authentification multifacteur dans Acumatica cloud ERP

La mise en œuvre de l’authentification multifacteur est simple, mais implique plusieurs étapes.

Étape 1 : Obtenir des comptes fournisseurs d’authentification multifacteur

Obtenez un compte pour chaque utilisateur qui se connectera à Acumatica. Le compte doit inclure des fonctionnalités d’authentification unique et le mécanisme d’authentification multifacteur que vous utiliserez.

Ces comptes peuvent fonctionner indépendamment d’Acumatica à d’autres fins au sein de votre organisation.

Étape 2 : Mettre en œuvre l’authentification unique

Les fonctionnalités d’authentification unique doivent être implémentées chez le fournisseur d’authentification et dans Acumatica.

Tout d’abord, vous devrez activer l’authentification unique pour le fournisseur d’authentification. Obtenez des informations auprès du fournisseur d’authentification sur la façon de configurer cela.

Ensuite, vous établissez un mécanisme sécurisé pour remettre les utilisateurs authentifiés à Acumatica. Pour fournir un transfert sécurisé, vous implémentez une connexion HTTPS entre les deux systèmes ainsi qu’un mécanisme d’authentification. Microsoft et Google utilisent OAuth 2.0 tandis que OneLogin utilise SAML 2.0. Des instructions détaillées sont disponibles dans l’aide d’Acumatica pour Google et Microsoft et via un document séparé pour OneLogin.

Dans le cadre de l’établissement d’un transfert sécurisé, chaque système fournit un certificat qui peut être entré dans l’autre système. Dans l’écran Préférences de sécurité D’Acumatica, vous pouvez entrer le certificat fourni par les fournisseurs externes comme indiqué ci-dessous.

Écran Préférences de sécurité Acumatica

La configuration de l’authentification unique implique généralement des modifications de la configuration Web et d’autres fichiers système. Par conséquent, les déploiements saas nécessiteront l’aide d’Acumatica.

Étape 3 : Modifier la page de connexion

Pour empêcher les utilisateurs de contourner le mécanisme d’authentification multifacteur, supprimez l’option nom d’utilisateur et mot de passe de la page de connexion.

Étape 4 : Lier des comptes externes aux comptes Acumatica

Lorsqu’une identité est transmise par un fournisseur d’authentification externe, Acumatica doit savoir à quel utilisateur Acumatica cette identité est associée.

Ce lien peut être configuré sur l’écran Profil utilisateur ou l’écran Utilisateurs sous l’onglet Identités externes .

Lier des comptes externes aux comptes Acumatica

Coûts de mise en œuvre multifactoriels

La mise en œuvre de l’authentification multifacteur entraîne des coûts supplémentaires, comme décrit ci-dessous.

  • Fournisseur d’authentification multifacteur
    • Comptes de fournisseur d’authentification : chaque utilisateur qui se connectera à Acumatica doit avoir un compte du fournisseur d’authentification. Ces coûts peuvent être fournis avec d’autres services (c’est-à-dire Microsoft Office 365) ou disponibles en tant que compte autonome. Ces coûts sont compris entre 2 $ et 10 $ par mois et par compte et sont facturés par le fournisseur externe.
    • Frais d’utilisation: En plus d’un compte, il peut y avoir des frais supplémentaires pour l’utilisation.
    • Frais d’authentification multifacteur : Différentes options d’authentification multifacteur sont associées à des frais différents. Par exemple, un jeton impliquera un achat de matériel à l’avance tout en utilisant un appareil mobile peut impliquer l’achat d’un compte Twilio / Authy.
  • Frais de mise en œuvre
    • La mise en place et le maintien de l’intégration peuvent nécessiter l’aide de services professionnels.
    • Pour les déploiements de cloud privé, le partenaire Acumatica peut l’inclure dans les coûts de mise en œuvre globaux.
    • Pour les déploiements SaaS, prévoyez un petit montant pour les services Acumatica.

La plate-forme ERP et ERP cloud Acumatica offre aux utilisateurs une sécurité optimale

Acumatica cloud ERP et notre plate-forme moderne de planification des ressources d’entreprise prennent en charge l’authentification multifacteur en se connectant à un fournisseur d’authentification à l’aide de l’authentification unique. La stratégie permet aux clients d’Acumatica de sélectionner l’option d’authentification qui convient à leur budget, à la complexité de l’utilisateur et au niveau de sécurité souhaité. Certains clients d’Acumatica utilisent une stratégie alternative consistant à utiliser un VPN en plus du nom d’utilisateur / mot de passe Acumatica pour fournir une authentification à deux facteurs. À l’avenir, Acumatica pourrait mettre en œuvre un mécanisme d’authentification multifacteur interne.

Les technologies d’authentification continuent d’évoluer. En utilisant la stratégie actuelle d’authentification unique, Acumatica peut se concentrer sur le développement de fonctionnalités ERP et tirer rapidement parti des nouvelles technologies biométriques et adaptatives qui améliorent la façon dont la sécurité est gérée.

Passez en revue notre série de mardis techniques pour plus de tutoriels et d’explications informatifs, tels que nos récents messages sur utilisation événements d'affaires pour automatiser les processus et sur le soutien d’Acumatica aux normes comptables 606 et IFRS 15.

Pour toute question sur la discussion d’aujourd’hui sur l’authentification multifacteur via l’authentification unique ou sur Acumatica cloud ERP et notre plate-forme ERP (Enterprise Resource Planning), veuillez nous contacter dès aujourd’hui.

En savoir plus dans la série technique du mardi

ANNEXE : Sécurité avancée de Nexvue

Nexvue a écrit une intégration avec Twilio / Authy qui permet l’authentification à deux facteurs avec un téléphone mobile en déployant une personnalisation Acumatica.

La solution permet l’authentification adaptative basée sur une liste blanche d’adresses IP (de sorte que les personnes dans un bureau ou un domicile n’ont pas besoin d’effectuer des facteurs multiples) et le stockage temporaire de l’authentification de téléphone mobile afin que les utilisateurs externes puissent être contestés en tant qu’intervalles définis par l’administrateur.

Sécurité avancée Nexvue

La personnalisation comprend tout ce dont vous avez besoin pour commencer afin d’être opérationnel avec un minimum d’aide de services professionnels. La solution ne nécessite pas l’UGS de configuration Active Directory d’Acumatica.

Messages populaires

Articles récents

Auteur du blog

Vice-président, Gestion des produits chez Acumatica.

Recevez des mises à jour de blog dans votre boîte de réception.

Abonnez-vous maintenant