Serveur OpenOTP™ (Multi-Factor avec OTP & FIDO2)

Les mots de passe d'application sont de longues clés aléatoires qui peuvent être générées par les utilisateurs dans le Self-Service Desk et qui sont spécifiques à une application cliente. Ces clés peuvent être utilisées en remplacement de la connexion par défaut lorsque l'application ne prend pas en charge OTP ou FIDO2. Le cas d'utilisation typique est un serveur de messagerie accessible via des appareils mobiles. Les clients de messagerie sur les appareils sont configurés avec le mot de passe de l'application de serveur de messagerie pour éviter de saisir le mot de passe OTP à chaque connexion.

L'authentification contextuelle OpenOTP est capable de réduire intelligemment les exigences de sécurité pour une connexion utilisateur lorsqu'un contexte de confiance est validé. Le contexte de connexion de confiance repose sur les adresses IP de l'utilisateur combinées aux empreintes digitales du périphérique client. Lorsqu'un contexte de connexion est approuvé, l'utilisateur se connecte avec un seul facteur (le mot de passe du domaine). Si un échec de connexion se produit, le multifacteur est à nouveau appliqué.

Avec le provisionnement de clés OpenOTP QRCode, l'auto-enregistrement de jetons n'a jamais été aussi simple. Aucune configuration manuelle de jeton ou saisie de clé secrète n'est requise : avec le jeton OpenOTP, les utilisateurs enregistrent leur jeton logiciel simplement en scannant un QRCode d'enregistrement sur leur appareil mobile iOS ou Android.

Les technologies de jeton logiciel nécessitent que l'utilisateur final télécharge le logiciel mobile, inscrive le jeton mobile sur le serveur d'authentification et resynchronise parfois le générateur OTP. OpenOTP inclut des applications Web utilisateur final (Self-Desk et Self-Reg) pour simplifier au maximum le déploiement de votre solution. Les Self Services de RCDevs fournissent des portails d'utilisateurs finaux autogérés à publier sur votre réseau d'entreprise ou public.

- L'application Web Self-Desk permet aux utilisateurs finaux de configurer eux-mêmes certains paramètres personnels, de mettre à jour leurs informations de compte (par exemple, numéro de téléphone portable ou adresse e-mail), de télécharger, d'enregistrer et de resynchroniser leurs token.

- L'application Web d'auto-inscription permet aux administrateurs de déclencher un e-mail d'utilisateur avec une URL d'auto-inscription unique. En cliquant sur l'URL et en saisissant son mot de passe, l'utilisateur peut enregistrer, resynchroniser et tester les token.

- L'application Web de réinitialisation de mot de passe permet aux utilisateurs de réinitialiser en toute sécurité leurs mots de passe de domaine perdus ou expirés avec token / SMS OTP, PKI et même FIDO2.

- La Web App Help-Desk permet de fédérer la 1ère ligne de support. L'équipe de support Helpdesk peut aider les utilisateurs finaux avec des besoins de base tels que changer leur mot de passe, email, numéro de téléphone, etc. Il leur donne également accès à leurs token et à leurs paramètres, historique de connexion, SSO, SSH et PKI.

OpenOTP est conforme aux exigences de sécurité les plus élevées en prenant en charge les modules de sécurité matérielle (HSM). Les modules matériels YubiHSM de Yubico (https://www.yubico.com/products/yubihsm/) peuvent être utilisés afin d'appliquer la cryptographie matérielle dans OpenOTP avec cryptage AES des graines de jetons et génération aléatoire véritable pour les OTP SMS/Email, OCRA défis, listes OTP. L'utilisation des modules HSM dans OpenOTP est 100% transparente et la migration vers la cryptographie matérielle peut se faire à tout moment sans impacter votre activité. Le serveur RCDevs WebADM prend en charge jusqu'à 8 modules HSM en mode hot-plug pour une tolérance aux pannes et des performances accrues.

Les approbations sont des domaines spéciaux qui ne correspondent pas à un ensemble d'utilisateurs LDAP locaux mais à un ensemble d'utilisateurs sur une installation OpenOTP distante. Le système Trust fonctionne comme un proxy d'authentification pour les domaines distants (au sein d'une organisation de confiance) et mappe un nom de domaine virtuel local à un domaine distant sur un autre serveur WebADM.