Authentification à deux facteurs (2FA)

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire et empêche l’accès à la session de vos utilisateurs même si quelqu’un connaît leur mot de passe.

Une combinaison de deux facteurs différents est utilisée pour atteindre un niveau de sécurité supérieur :

1) quelque chose qu’ils connaissent, un mot de passe.
2) quelque chose qu’ils ont, un appareil – tel qu’un smartphone – avec une application d’authentification installée.

Vous pouvez utiliser l’une des applications d’authentification suivantes pour continuer. Ces applications sont disponibles sur un large éventail de plates-formes :
Authy
Google Authenticator
Microsoft Authenticator

Chaque fois qu’un utilisateur se connectera à sa session à distance, il aura besoin de son mot de passe et d’un code de vérification disponible sur son téléphone mobile.
Une fois configurée, l’application d’authentification affichera un code de vérification pour lui permettre de se connecter à tout moment. Cela fonctionne même si son appareil est hors ligne.

OU vous pouvez décider de recevoir les codes de vérification par SMS. Dans ce cas, vous devrez créer un compte gratuit sur Twilio.

L’authentification à deux facteurs est disponible avec les connexions HTML5 et Remoteapp sur le portail web TS2log uniquement, sur les éditions Web et Entreprise TS2log Mobile. Ce mode d’authentification ne prend pas en charge la connexion via le Client Remote Desktop.

Afin de fournir une solution encore plus sûre, les connexions RDP sont refusées pour les utilisateurs activés 2FA.

Comme condition préalable, le serveur TS2log et les appareils doivent être à l’heure.
Consultez les sections Synchronisation de l’heure et Paramètres pour plus d’information sur la configuration.

Activation de la licence complémentaire d'authentification à deux facteurs

La fonctionnalité d’authentification à deux facteurs se trouve dans l’onglet « Extensions » de l’Admin Tool :

Elle est disponible en version d’essai de 30 jours pour 10 utilisateurs. Pour activer votre licence, copiez le numéro de série que vous trouverez en bas du bouton « Accueil » :

Dans l’onglet « Licence » et cliquez sur le bouton « Activer votre licence » :

Activer l'authentification à deux facteurs

Effectuez les étapes suivantes pour activer l’authentification à deux facteurs pour votre serveur ou déploiement TS2log. Si votre déploiement TS2log est configuré pour utiliser de multiples serveurs, effectuez cette tâche sur le serveur TS2log exposé comme point d’entrée unique pour les utilisateurs ou ayant le rôle de reverse proxy.

Ouvrez l’application d’administration de l’authentification à deux facteurs. L’état de l’authentification à deux facteurs et l’état de la licence sont affichés :

Par défaut, 2FA est activé pour la passerelle TS2log et les serveurs d’applications autonomes.

Vous pouvez l’activer uniquement pour les serveurs d’applications TS2log, en saisissant l’URL du serveur d’authentification :

Ou la désactiver :

Ajouter des utilisateurs et des groupes

Une fois l’authentification à deux facteurs activée, vous pouvez configurer des utilisateurs pour l’authentification à deux facteurs.

1) Depuis l’application d’administration de l’authentification à deux facteurs, cliquez sur l’onglet « Gérer les utilisateurs » :

2) Cliquez ensuite sur « Ajouter » pour sélectionner des utilisateurs et/ou des groupes d’utilisateurs. La boîte « Sélectionner des utilisateurs ou des groupes » s’ouvrira :

3) Ajoutez autant d’utilisateurs et de groupes que nécessaire puis cliquez sur OK. Les utilisateurs et les groupes sont ajoutés à la liste et activés pour l’authentification à deux facteurs.

Modifier des utilisateurs

Sur la même vignette, vous pouvez modifier la manière dont les utilisateurs reçoivent les codes de vérification en sélectionnant un utilisateur et en cliquant sur le bouton « Modifier » :

L’utilisateur reçoit par défaut des codes de vérification sur l’application d’authentification. Vous pouvez choisir qu’il les reçoive par SMS en sélectionnant l’option et en ajoutant le numéro de téléphone de l’utilisateur dans le champ ci-dessous.

Supprimer des utilisateurs et des groupes

Pour supprimer des utilisateurs ou des groupes, sélectionnez l’utilisateur ou le groupe puis cliquez sur « Supprimer ». Un message de confirmation s’affichera :

Cliquez sur « Oui ». L’utilisateur ou le groupe est supprimé de la liste et ne se connectera plus en utilisant l’authentification à deux facteurs.

Réinitialiser la configuration des utilisateurs

En cas de perte du dispositif d’authentification d’un utilisateur ou si l’utilisateur a besoin d’afficher à nouveau le QR code secret, vous devrez réinitialiser les paramètres d’authentification de l’utilisateur.

1) Depuis l’application d’administration de l’authentification à deux facteurs, cliquez sur l’onglet « Gérer les utilisateurs ».

2) Sélectionnez un ou plusieurs utilisateurs activés puis cliquez sur « Réinitialiser ». Un message de confirmation s’affiche :

3) Cliquez sur « Oui ». Les utilisateurs sélectionnés se verront présenter un nouveau QR code lors de la prochaine connexion et devront le scanner dans l’application d’authentification de leur appareil.
Vous pouvez également modifier le numéro de téléphone de l’utilisateur afin qu’il puisse recevoir un code de vérification sur son appareil.

Inscrire l'utilisateur pour l'authentification à deux facteurs

Une fois qu’un utilisateur a été activé pour utiliser l’authentification à deux facteurs, un message d’activation s’affiche lors de sa prochaine connexion réussie à partir du portail web TS2log.

Afin de réaliser les étapes requises, vous avez deux choix : soit générer des codes via une application d’authentification, soit faire en sorte que l’utilisateur reçoive des codes par SMS.

Recevoir des codes avec une application d'authentification

L’utilisateur doit installer une application d’authentification sur un appareil portable, tel que son smartphone.

Vous pouvez utiliser l’une des applications d’authentification suivantes pour continuer. Ces applications sont disponibles sur un large éventail de plates-formes :
Authy
Google Authenticator
Microsoft Authenticator

Veuillez utiliser la documentation de chaque application pour plus de détails sur la façon de procéder pour ajouter votre compte TS2log.

Configurer les SMS

Pour que l’utilisateur reçoive les codes de vérification par SMS, vous devez d’abord activer la fonctionnalité. Cliquez sur l’onglet « Configurer les SMS » :

TS2log exploite Twilio afin d’envoyer des codes de vérification par SMS. Twilio est une plate-forme cloud tierce, non affiliée à TS2log.

1) Créez simplement un compte gratuit sur Twilio en cliquant sur le bouton ci-dessous « Démarrez votre essai gratuit avec Twilio » :

2) Sur votre tableau de bord de compte Twilio, vous devez activer votre numéro d’essai :

3) L’étape suivante n’est nécessaire que pour les versions d’essai. Elle permet à Twilio de vérifier le numéro de téléphone réel sur lequel les SMS seront envoyés.
Entrez ce numéro dans le menu « Numéros de téléphone » – onglet « Identifiants d’appelants vérifiés » :

4) Vous pourrez ensuite entrer le SID de votre compte, le jeton d’authentification et le numéro d’essai comme numéro de téléphone dans l’onglet « Configurer les SMS » de TS2log :

Puis cliquez sur « Enregistrer ». Le message suivant s’affiche :

Vous pouvez gérer votre abonnement Twilio dans la section « Gérer l’abonnement Twilio » en bas de l’onglet « Configurer les SMS ». Administrez votre compte, consultez l’état du service ou accédez au centre d’assistance Twilio en cliquant simplement sur les boutons correspondants.

Connectez-vous à l'aide de l'authentification à deux facteurs

Une fois qu’un utilisateur a configuré son compte TS2log dans son application d’authentification, il peut se connecter en utilisant son mot de passe et le code fourni par l’application d’authentification ou par SMS.

Synchronisation de l'heure

Le serveur TS2log et les appareils doivent être à l’heure. Cela signifie que l’heure et la date du serveur doivent être synchronisées avec un serveur de temps.
Les appareils doivent également être synchronisés, quel que soit le fuseau horaire sur lequel ils sont configurés.

Si une demande d’authentification provient d’un appareil dont la date et l’heure ne sont pas synchronisées ou si la date et l’heure du serveur ne sont pas synchronisées, cette demande peut être rejetée.

La validation des informations entre l’appareil et le serveur se rapporte à l’heure UTC.
Dans la section <« Paramètres », le paramètre « Écart » permet de gérer la durée de validité du code, par intervalles de 30 secondes.

Exemple de validation ou d’authentification valide :

  • Le serveur est synchronisé avec un serveur horaire, le fuseau horaire est UTC+2, il est 14h30
  • L’appareil est synchronisé avec un serveur horaire, le fuseau horaire est UTC+1, il est 13h30
  • Le paramètre de divergence est configuré à 60, soit une période de validité du code de 30 minutes
  • Par rapport à l’heure UTC, l’heure de l’appareil et l’heure du serveur sont identiques.

Exemple de validation ou d’authentification invalide :

  • Le serveur est synchronisé avec un serveur de temps, le fuseau horaire est UTC+2, il est 14h30
  • L’appareil n’est pas synchronisé avec un serveur horaire, le fuseau horaire est UTC-1, l’heure est réglée manuellement sur 13h30
  • Le paramètre divergence est configuré à 60, soit une période de validité du code de 30 minutes
  • L’heure du serveur par rapport à l’heure UTC est 00h30
  • L’heure communiquée par l’appareil, par rapport à l’heure UTC est 14h30
  • La différence est de 120 minutes, le code de validation est donc refusé.

Paramètres

L’onglet « Paramètres » permet d’ajouter des utilisateurs à la liste blanche afin qu’ils puissent se connecter à l’aide d’un client RDP sans avoir à saisir un code à deux authentifications.

Cliquez sur le bouton « Ajouter » pour ajouter un utilisateur et pour supprimer un utilisateur, sélectionnez-le et cliquez sur le bouton « Supprimer ».

L’onglet « Avancé » permet de configurer les paramètres approfondis de l’authentification à deux facteurs :

Divergence

Vous pouvez modifier la valeur de divergence qui vous permet de définir le délai de validation d’un code de vérification.
Un écart de 3 signifie que le même code de vérification reste valide 90 secondes en arrière et en avant sa période de validité initiale de 30 secondes. La valeur par défaut est 480, ce qui signifie 480 x 30 secondes = 4 heures.

Émetteur

Une chaîne de caractères indiquant le nom du service d’authentification à deux facteurs. L’émetteur est affiché sur l’application mobile du Client et identifie le service associé au code de vérification généré. Par défaut, il est composé du nom du serveur de TS2log.

Validité après la première session

C’est la période pendant laquelle un utilisateur peut ouvrir une session sans avoir à revalider le code d’authentification à deux facteurs précédent. Ce paramètre permet aux utilisateurs d’ouvrir successivement des applications à partir du portail d’applications web. La valeur par défaut est de 480 minutes.

Validité avant la première session

C’est la période pendant laquelle un utilisateur peut ouvrir une session après avoir validé un code d’authentification à deux facteurs depuis le portail web ou depuis l’application mobile, cela en secondes. La valeur par défaut est de 3600 secondes.

Chiffres

C’est le nombre de chiffres à afficher pour l’utilisateur. Veuillez noter que ce paramètre peut ne pas être pris en charge par les applications d’authentification. Ce nombre doit être supérieur ou égal à 4 et inférieur ou égal à 12. La valeur par défaut est 6.

Message de code de vérification par SMS

C’est le message envoyé aux utilisateurs demandant un code de vérification s’ils sont configurés pour le recevoir par SMS. Ce message doit contenir l’espace réservé %CODE% qui sera remplacé par le code de vérification réel. La valeur par défaut est : Votre code de vérification %ISSUER% est : %CODE%

TS2log est la meilleure alternative à Citrix et RDS. Nos solutions d’accès à distance sont parmi les plus abordables et efficaces du marché. Vous voulez en savoir plus ? Contactez nos équipes pour demander un essai gratuit.
LinkedIn Logo

Plan du site

Nous contacter
Liens utiles

Copyright 2025 © Soft4Europe - Mentions légales - Politique de cookies - CGV - Développé par GooPlus

Retour en haut
Logo IT Partners 2025

Retrouvez-nous au Salon ITPartners Paris La Défense Arena - Stand C054
les 5 et 6 février 2025.

Obtenez votre
badge gratuit