IBM Cloud Docs
Authentification multifacteur IBM Cloud

Authentification multifacteur IBM Cloud

L'authentification multifacteur (MFA) ajoute une couche de sécurité à votre compte en exigeant que tous les utilisateurs s'authentifient en utilisant un autre facteur d'authentification que l'identifiant et le mot de passe. L'authentification multifactorielle est également connue sous le nom d'authentification à deux facteurs ( 2FA ).

IBM Cloud est associé à l'ID de chaque utilisateur et l'authentifie sur tous les comptes dont il est membre, de sorte qu'il ne s'authentifie qu'une seule fois.

L'authentification multi-facteur IBM Cloud s'applique à toutes les ressources de n'importe quel type de compte. Lorsque l'authentification multi-facteur est activée, un utilisateur est invité à fournir un identificateur unique (tel qu'un nom d'utilisateur ou un courrier électronique) et un mot de passe à utilisation unique (OTP) généré par une application d'authentification ou un jeton matériel. Une fois que le mot de passe à utilisation unique correct a été entré, l'accès est accordé à la ressource demandée. Ce type d'authentification multi-facteur est beaucoup plus sûr que l'authentification multi-facteur basée sur un compte car il n'est pas limité aux ressources d'infrastructure classique et s'applique à toutes les ressources du compte. Il réduit également le risque de violation en raison d'un mot de passe faible ou de l'utilisation du même mot de passe sur plusieurs comptes.

Options d'authentification multi-facteur

En tant qu'administrateur sur le IAM Identity Service ou sur tous les services de gestion des comptes IAM, vous pouvez activer l'authentification multi-facteur pour le compte ou un utilisateur spécifique, et elle s'applique à toutes les ressources de compte.

  • Vous pouvez mettre à jour le paramètre d'authentification multi-facteur pour votre compte en accédant à Gérer > Accès (IAM) > Paramètres > Authentification dans la console IBM Cloud®. Pour plus d'informations, voir Activation de l'authentification multi-facteur pour un compte.
  • Vous pouvez mettre à jour le paramètre d'authentification multi-facteur pour un utilisateur spécifique de votre compte en accédant à Gérer > Accès (IAM) > Utilisateurs et en cliquant sur l'utilisateur dont vous souhaitez mettre à jour l'authentification multi-facteur. Si vous êtes un nouvel utilisateur, utilisez l'option MFA basée sur l'ID pour vous assurer que votre connexion est sécurisée. Pour plus d'informations, voir Activation de l'authentification multi-facteur pour un utilisateur individuel.

Authentification multi-facteur pour les utilisateurs disposant d'un IBMid

Les utilisateurs s'authentifient à l'aide d'un code d'authentification à usage unique ( IBMid ), d'un mot de passe et d'un code d'authentification à usage unique basé sur le temps (time-based one-time passcode, TOTP). Vous pouvez activer cette option pour tous les utilisateurs ou uniquement pour les utilisateurs non fédérés.

MFA pour tous les utilisateurs ( IBMid et pris en charge IdPs )

Les utilisateurs s'authentifient en utilisant l'un des facteurs MFA suivants. Cette option s'applique à tous les utilisateurs, y compris ceux qui utilisent un IBMid ou un fournisseur d'identité externe (IdP), comme App ID.

  • MFA par e-mail : les utilisateurs s'authentifient à l'aide d'un code de sécurité, qui est envoyé par e-mail.
  • Authentification multi-facteur TOTP : les utilisateurs s'authentifient en se servant d'un code d'accès TOTP.
  • U2F MFA: les utilisateurs s'authentifient à l'aide d'une clé de sécurité matérielle physique. Ce facteur, qui s'appuie sur la norme FIDO U2F, offre le niveau de sécurité le plus élevé.

Aucun

Tous les utilisateurs se connectent uniquement à l'aide d'un ID et d'un mot de passe standard, qui offrent le niveau de sécurité le plus bas. Pour augmenter le niveau de sécurité de cette option, vous pouvez désactiver la connexion à l'interface de ligne de commande uniquement avec un nom d'utilisateur et un mot de passe. Ainsi, vous avez besoin d'une clé d'API pour vous connecter à l'interface de ligne de commande ou les utilisateurs peuvent se connecter avec --sso.

A partir du 3 mai 2023, par défaut, les connexions à l'interface de ligne de commande avec uniquement un nom d'utilisateur et un mot de passe sont désactivées pour tous les utilisateurs dont l'authentification multi-facteur est définie sur Aucun. Cela s'applique aux utilisateurs des comptes nouveaux et existants. Les administrateurs peuvent se désinscrire avant cette date dans la console IBM Cloud. Pour plus d'informations, voir Désactivation des connexions CLI avec un mot de passe uniquement.