Serveur d'authentification OpenOTP

Les mots de passe applicatifs sont de longues clés aléatoires pouvant être générées par les utilisateurs dans les Self-Services et spécifiques à une application cliente. Ces clés peuvent être utilisées en remplacement du login par défaut lorsque l'application ne prend pas en charge OTP ni U2F. Le cas d'utilisation typique est un serveur de messagerie auquel on accède via des appareils mobiles. Les clients de messagerie sur les appareils sont configurés avec le mot de passe de l'application du serveur de messagerie pour éviter d'entrer le mot de passe OTP à chaque connexion.

L'authentification contextuelle OpenOTP est capable de réduire intelligemment les exigences de sécurité pour une connexion utilisateur lorsqu'un contexte de confiance est validé. Le contexte de connexion sécurisé repose sur les adresses IP de l'utilisateur combinées aux empreintes digitales de l'appareil client. Lorsqu'un contexte de connexion est approuvé, l'utilisateur se connecte avec un seul facteur (le mot de passe du domaine). Si un échec de connexion se produit, le multifacteur est à nouveau appliqué.

Avec le provisionnement des clés OpenOTP QRCode, l'auto-enregistrement des jetons n'a jamais été aussi simple. Aucune configuration manuelle de jeton ou saisie de clé secrète n'est requise : avec Google Authenticator ou FreeOTP, les utilisateurs enregistrent leur jeton logiciel en scannant simplement un QRCode d'enregistrement sur leur iPhone ou leur appareil mobile Android. Avec d'autres jetons logiciels, les utilisateurs scannent simplement la clé de jeton affichée avec un lecteur de code-barres et la copient/collent dans leur clé de jeton pour l'enregistrement.

Les technologies de jeton logiciel nécessitent que l'utilisateur final télécharge le logiciel mobile, enregistre le jeton mobile sur le serveur d'authentification et resynchronise parfois le générateur OTP. OpenOTP inclut des applications Web pour l'utilisateur final (SelfDesk et SelfReg) pour simplifier au maximum le déploiement de votre solution. Les Self Services de RCDevs fournissent des portails d'utilisateurs finaux d'autogestion à publier sur votre réseau d'entreprise ou public.
RCDevs SelfDesk permet aux utilisateurs finaux de configurer eux-mêmes certains paramètres personnels, de mettre à jour les informations de leur compte (par exemple, numéro de téléphone portable ou adresse e-mail), de télécharger, d'enregistrer et de resynchroniser leurs jetons logiciels.
SelfReg est une autre application Web où les administrateurs peuvent déclencher un e-mail utilisateur avec une URL d'auto-inscription unique. En cliquant sur l'URL et en entrant son mot de passe, l'utilisateur peut enregistrer, resynchroniser et tester les Tokens.
PwReset permet aux utilisateurs de réinitialiser en toute sécurité leurs mots de passe de domaine perdus ou expirés avec Token / SMS OTP, PKI et même U2F.

OpenOTP est conforme aux exigences de sécurité les plus élevées en prenant en charge les modules de sécurité matérielle (HSM). Les modules matériels YubiHSM de Yubico (https://www.yubico.com/products/yubihsm/) peuvent être utilisés afin d'appliquer la cryptographie matérielle dans OpenOTP avec cryptage AES des graines de jetons et génération aléatoire véritable pour les OTP SMS/Email, OCRA défis, listes OTP. L'utilisation des modules HSM dans OpenOTP est 100% transparente et la migration vers la cryptographie matérielle peut se faire à tout moment sans impacter votre activité. Le serveur RCDevs WebADM prend en charge jusqu'à 8 modules HSM en mode hot-plug pour une tolérance aux pannes et des performances accrues.

Les trusts sont des domaines spéciaux qui ne correspondent pas à un ensemble d'utilisateurs LDAP locaux mais à un ensemble d'utilisateurs sur une installation OpenOTP distante. Le système de confiance fonctionne comme un proxy d'authentification pour les domaines distants (au sein d'une organisation de confiance) et mappe un nom de domaine virtuel local à un domaine distant sur un autre serveur WebADM.