Bonsoir,

Ajoute la personne dans un groupe utilisateur qui sera utilisé pour l'authentification multifacteur (pourquoi pas un groupe mfa)

En théorie, l'option MFA devrait s'appliquer uniquement au groupe spécifique, y compris si l'utilisateur fait partie de plusieurs groupes (par exemple enregistré et mfa).
Toutefois, je n'ai jamais testé donc n'hésite pas à faire un retour sur le sujet ( merci ! ).

J'utilise souvent l'option MFA pour sécuriser uniquement les comptes des super admin.

Bonjour Daneel et merci pour l’intérêt à ce problème
En effet je n’avais pas pensé à cette astuce, mais hélas cela ne donne rien, dans les deux cas, c’est-à-dire autant l’utilisateur appartient aux deux groupes (Registered et MFA) ou uniquement au nouveau groupe (MFA) l'authentification multifacteurs ne lui est plus proposé au moment de l’accès et je dois dire que c’est assez embêtant… si tu as d’autres pistes je prends! Merci!

Bonjour,

J'ai effectué un test avec trois comptes sous la dernière version de Joomla :

• Un super-administrateur
• Un compte appartenant uniquement au groupe "Enregistré"
• Un compte appartenant à la fois au groupe "Enregistré" et au groupe MFA

Ensuite, j'ai activé l'option "Imposer l'authentification multifacteurs"
dans les paramètres utilisateurs (Utilisateurs > Gestion > Bouton "Paramètres" en haut à droite > Onglet "Authentification multifacteurs").
​


Lors de la première connexion du compte appartenant au groupe MFA, Joomla m'impose de définir une méthode d'authentification.
J'opte pour l'authentification par e-mail et valide le code reçu.

Par la suite, lors des connexions suivantes, l'authentification multifacteurs fonctionne normalement.
Les autres comptes qui ne font pas partie du groupe MFA peuvent se connecter sans être soumis à cette authentification supplémentaire.

Note : je suis parti sur un nouveau site avec le contenu d'exemple. Je précise également que le groupe mfa est paramétré avec le groupe parent "enregistré".



Tu peux tenter de refaire la procédure et si tu rencontre encore un problème, vérifie en mode debug et rapport au max si tu n'as pas d'erreur.


​

Merci pour ce tuto, cela fonctionne ainsi, ta procédure m’a permis de débloquer les utilisateurs qui avaient dans un premier temps cliqué sur le bouton “Ne plus afficher”.

Certes, il faut intervenir manuellement côté back-end et à mon avis ça reste contraignant car l’utilisateur doit envoyer une demande à l’administrateur du site pour qu’il puisse à nouveau activer l’authentification multifacteur… je trouve la procédure assez fastidieuse, l’idéal aurait été d’avoir une option dans l’espace utilisateur pour qu’il puisse activer cette fonction indépendamment, donc de façon autnome, sans avoir à passer par l’administrateur du site.

Imposer l’authentification multifacteur me semble rebutant pour un utilisateur qui n’est pas habitué aux technologies (je pense aux personnes d’un certain âge), bref je vais voir si l’intégrer ou non dans mon site, même si c’est une protection supplémentaire, donc à voir… mais peut-être que j’ai loupé quelque chose? Peut-être qu’il est possible d’insérer ce choix dans le compte de l’utilisateur?​

Le paramètre "Nouveaux utilisateurs intégrés" permet uniquement d'afficher ce message invitant les utilisateurs à utiliser de façon "optionnelle" le multifacteur.
Si celui-ci clique sur "ne plus afficher", le message ne sera plus présenté mais il peut toujours accéder au multifacteur en editant son profil tout simplement.

Pour permettre de voir et modifier leur profil, il faut ajouter un lien de menu du profil pour les utilisateurs enregistrés.
Il suffira pour eux de cliquer sur le lien de menu puis sur le bouton "modifier" pour ajouter le multifacteur ou modifier d'autres paramètres du profil comme le mot de passe.

Tu peux aussi modifier le texte de l'annonce en indiquant qu'il pourront retrouver la fonctionnalité multifacteur depuis la gestion de leur profil en effectuant une surcharge du texte ( via système > substitution de traduction ), désactiver certains choix du multifacteur (pour laisser par exemple le choix par email) ou le système de clé (webauth) si cela représente trop d'options en desactivant les plugins du même nom.
Dans ce sens, tu simplifie et tu guide les utilisateurs. De plus rien ne t'empèche d'envoyer des emails aux utilisateurs pour les sensibiliser au multifacteurs en expliquant comment via l'édition du profil avec le lien direct.
Une fois identifié, il pourront l'activer sans difficulté.

ok merci pour toutes ces suggestions, je vais m’y mettre… par contre je suis étonné que l’utilisateur coté front-end pourra modifier le multifacteur puisque déjà côté back-end un super-administrateur n’a pas la main dessus pour l’activer, il peut juste désactiver (effacer) cette fonctionnalité…

Je suis un peu confus, faut-il activer cette option? De mon côté cette option est activée.
Encore merci.

Seul l'utilisateur peut activer ou modifier le multifacteur de son profil, le superadmin ne peut qu'éditer celui de son propre profil mais pas ceux des autres.
Normal, cela fait partie des règles de sécurité comme pour la gestion de mots de passe. Pour moi, ce n'est pas dérangeant car chacun gère ses propres paramètres.
Après je comprends que ce soit difficile pour des personnes agées ou peu receptif à la technologie (tout le contraire de moi ! ).
Dans ce cas, il faut vraiment vulgariser et simplifier la démarche pour que ce soit un jeu d'enfant.