Authentification utilisateur

Cette section décrit comment configurer et gérer l’authentification utilisateur dans Parsec.

Comme décrit dans la section Authentication, l’authentification utilisateur dans Parsec est une opération qui a lieu (principalement) côté client : elle détermine la façon dont un fichier d’appareil local sera protégé. Cette section peut être consultée pour plus de détails.

Parsec propose aussi du MFA via un TOTP, en plus d’une protection primaire (mot de passe, keyring, etc.).

Authentification recommandée

Lorsqu’un serveur est démarré, des méthodes d’authentification peuvent être configurées, comme dans l’exemple ci dessous.

# Recommend only PKI (SmartCard) and PASSWORD (with mandatory MFA)
$ python -m parsec run [...] \
  --advisory-device-file-protection PASSWORD+TOTP  \
  --advisory-device-file-protection PKI

Les valeurs possibles sont :

  • PASSWORD

  • PASSWORD+TOTP

  • KEYRING

  • KEYRING+TOTP

  • PKI

  • PKI+TOTP

  • OPENBAO

  • OPENBAO+TOTP

Important

Seules les méthodes spécifiées vont être disponibles pour les utilisateurs de l’application client Parsec

However, since the encrypted device file is only available locally, the Parsec Server cannot enforce the specified methods (hence the advisory name).

Le MFA est est un cas particulier parce qu’il implique une communication avec le serveur Parsec. Si vous souhaitez forcer les utilisateurs à activer le MFA, vous devez utiliser uniquement les variants qui contiennent +TOTP (par exemple : PASSWORD+TOTP, mais pas PASSWORD)

Réinitialisation de la configuration MFA

Lorsqu’un utilisateur perd l’accès à son application d’authentification (par exemple, en cas de perte ou de remplacement de son téléphone), sa configuration MFA doit être réinitialisée par un administrateur de serveur avant que l’utilisateur puisse la reconfigurer (voir Authentification multifacteur).

Pour réinitialiser la configuration MFA d’un utilisateur, l’administrateur du serveur doit fournir :

  • L’adresse du serveur Parsec, en tant qu’URL Parsec parsec3://hostname:port

  • Le administration_token configuré sur le serveur Parsec

  • L’ID de l’organisation

  • L’utilisateur à réinitialiser, identifié par son adresse e-mail ou son ID d’utilisateur Parsec

Typiquement, pour réinitialiser par adresse e-mail :

parsec-cli user totp-reset --addr parsec3://example.com --token s3cr3t --organization MyOrganization --user-email alice@example.com --send-email

Exemple de résultat :

TOTP reset for user 940a380aedd44127863d952a66cfce1e
Reset URL: parsec3://example.com/MyOrganization?a=totp_reset&p=...
An email with the reset URL has been sent to alice@example.com