Double authentification (2FA) avec un Fortigate via LDAP(S) : DUO côté usager (4/4)
Suite et fin
Je voulais finalement terminer cette série d’articles en évoquant la phase d’enrôlement avec les différentes méthodes et quelques petites astuces.
Commençons succinctement par le côté « administrateur » de DUO puis nous enchaînerons sur les étapes d’enrôlement.
Administration DUO
Envoyer l’email pour l’enregistrement
Une fois le nouvel usager crée chez DUO, l’administrateur va devoir envoyer un courriel à ce dernier (prérequis) afin qu’il puisse enregistrer son équipement « 2FA ». Il suffit de cliquer sur le lien en haut à droite « Send Enrollment Email » :
A noter que l’unique expéditeur de ces emails est : no-reply@duosecurity.com
Le destinatairedevra éventuellement s’assurer que rien n’est dans ces emails indésirables.
Exemple d’email que va recevoir la personne avec un lien (flouté ici) :
Les groupes
Je vous invite à utiliser les groupes également, surtout si vous avez ou comptez l’utiliser pour un grand nombres d’utilisateurs de votre compagnie ou consultants externes.
En effet, cela vous permettra d’identifier rapidement les usagers d’une même entreprise voire d’une même équipe. Et surtout, vous serez en mesure de désactiver l’accès d’un coup à un groupe d’usagers en cas d’incident de sécurité par exemple, sans bloquer tout le monde.
L’enrôlement
Application DUO
L’usager sera guidé durant ce processus. une fois qu’il aura cliqué sur le lien contenu dans le courriel, voici les différentes étapes :
