Documentation en ligne

Moyens d'authentification

⚙️ Accès dans le backoffice :
Gestions d'identités > Moyens d'authentification

Cette page permet d'ajouter et de configurer différents moyens d'authentification.

Mot de passe

Le moyen de connexion mot de passe est activé par défaut. Il permet aux usagers de s’identifier à l’aide de leur adresse électronique et/ou de leur numéro de téléphone.

Général

L'onglet « Général » permet de personnaliser les paramètres suivants :

Condition d’affichage
Permet d'afficher ou non le moyen d'authentification mot de passe.
Exemples :
• is_for_backoffice() : affiché uniquement en backoffice
• is_for_frontoffice() : affiché uniquement en frontoffice
• is_for_backoffice() or remote_addr == '1.2.3.4' : masqué côté frontoffice sauf pour une IP spécifique.
Variables disponibles : service_ou_slug, service_slug, remote_addr, login_hint, headers

Description du bloc de connexion
La description sera affichée en haut du bloc de connexion (sauf en cas de personnalisation existante via l’intégration graphique).

Inscriptions autorisées
Autorise les usagers à se créer un compte (case cochée par défaut).

Domaines d’adresse électronique interdits lors de la création de compte
Liste de domaines, séparés par une virgule (par exemple : « @gmail.com, @outlook.fr »). Possibilité d'indiquer des expressions régulières.
Ce paramètre permet de bloquer la création de comptes locaux pour certains domaines, notamment pour empêcher des agents disposant d’un compte dans l’annuaire agent de contourner ce mécanisme en créant un compte indépendant avec leur adresse professionnelle. 

Force minimum du mot de passe
Définit le niveau de complexité exigé pour les mots de passe. Deux approches sont possibles :

• Analyse dynamique : évalue la robustesse du mot de passe en détectant des motifs faibles comme des noms, des dates ou des combinaisons courantes. La force allant de « Très faible » à « Forte ».
• Vérification statique : contrôle simplement la présence de types de caractères différents (majuscules, chiffres, symboles, etc.).

Longueur minimale du mot de passe
La valeur par défaut est de 8.

Avancé

L'onglet « Avancé » permet de personnaliser les paramètres suivants :

Durée de la session
Par défaut, la session expire après 10 heures ou à la fermeture du navigateur.
La case « Se souvenir de moi » sur la mire de connexion permet à l'utilisateur de rester connecté plus longtemps. Cette durée est à définir en secondes. Elle est comprise entre 28 800 (8 heures) et 7 776 000 (90 jours). Définir une valeur pour ce paramètre active l'affichage de la case « Se souvenir de moi ».
Il est déconseillé de définir une durée trop longue, afin de préserver la sécurité des comptes.

Inclure le choix de la collectivité dans le formulaire de connexion
Cette option permet d'afficher une liste déroulante dans le formulaire de connexion, afin que l'usager choisisse sa collectivité.
Elle est utile principalement dans le cas d’une instance multi-collectivités, lorsque le même usager utilise une adresse électronique ou un numéro de téléphone identique pour plusieurs comptes.
En effet, l’unicité de l’adresse électronique ou du numéro de téléphone est gérée par collectivité : un même usager peut donc avoir un compte distinct avec le même contact dans plusieurs collectivités.

Expression régulière pour valider les mots de passe
Il est possible de définir une expression régulière pour restreindre le format des mots de passe.
Par exemple : ^[0-9]{8}$ permet d’exiger un mot de passe composé de 8 chiffres uniquement.

Ce paramètre doit impérativement rester cohérent avec les règles définies dans l’onglet « Général ».
Aucune alerte n’est affichée dans le backoffice en cas de contradiction entre les deux onglets. Si les règles ne sont pas compatibles, les usagers ne pourront pas créer de mot de passe valide.

Ce champ est obsolète : il est recommandé d’utiliser exclusivement les réglages de l’onglet « Général ».

Message d’erreur à afficher lorsque le mot de passe ne valide pas l’expression régulière
Exemple : Veuillez saisir un mot de passe composée de 8 chiffres uniquement.

Essais infructueux
Lorsqu’un usager saisit un identifiant ou un mot de passe incorrect, un délai de plus en plus long peut être appliqué avant d’autoriser un nouvel essai.
Cette mesure vise à limiter les tentatives automatisées, notamment en cas d’attaque par force brute.
Pour configurer ce mécanisme, quatre paramètres sont disponibles :

• délai entre les essais infructueux : base (en secondes) pour le calcul du délai exponentiel, par défaut : 1.0 ;
• facteur multiplicatif du délai entre les essais infructueux : chaque nouveau délai est obtenu en multipliant le précédent par ce facteur, par défaut : 1.8 ;
• délai maximal entre les essais infructueux : durée maximale (en secondes) à attendre entre deux tentatives, par défaut : 3600 (soit 1 heure) ;
• temps minimal avant que les délais d’attente ne s’appliquent : seuil minimal, en secondes, au delà duquel le temps d’attente calculé de façon exponentielle commence à s’appliquer pour l’usager concerné, par défaut : 10.

Lorsque le délai est atteint, l'usager voit s'afficher le message suivant :
« Vous avez fait trop d’erreurs de connexions, vous devez attendre x secondes avant de pouvoir à nouveau essayer. »

Exemple (avec les valeurs par défaut) :
1re erreur → délai : 1 s
3e erreur → délai : 1 × (1.8)² = 3.24 s
5e erreur → délai : 1 × (1.8)⁴ = 10.49 s
À partir de la 5e erreur, le délai dépasse le seuil minimal de 10 secondes. C’est à ce moment-là que le message d’attente s’affiche à l’usager, qui devra patienter avant de pouvoir réessayer.

Limitation de la fréquence des envois
Ces paramètres permettent de limiter le nombre de courriels ou de SMS pouvant être envoyés depuis une même adresse IP ou vers un même destinataire, dans un laps de temps donné.
L’objectif est de prévenir les abus automatisés, en particulier les attaques par bots qui chercheraient à saturer le système en envoyant un grand nombre de messages.
Pour configurer ces règles, quatre paramètres sont disponibles, les unités de temps sont exprimées en anglais, à savoir s (second), m (minute), h (hour), d (day) :

• fréquence maximale des courriels envoyés, par IP : nombre maximum d’envois de courriels déclenchés par la même adresse IP, en fonction du temps, par défaut : 10/h ;
• fréquence maximale des SMS envoyés, par IP : nombre maximum d’envois de SMS déclenchés par la même adresse IP, en fonction du temps, par défaut : 10/h ;
• fréquence maximale des courriels envoyés, par adresse : nombre maximum d’envois vers une même adresse de courriel, en fonction du temps, par défaut : 3/d ;
• fréquence maximale des SMS envoyés, par numéro : nombre maximum d’envois vers un même numéro, en fonction du temps, par défaut : 10/h.

Autorise les usagers à s’identifier avec leur adresse de courriel
Cette case est cochée par défaut.

Autorise les usagers à s’identifier avec leur numéro de téléphone
Par défaut, cette case à cocher n’est pas affichée.
Pour activer ce paramètre lié à l’authentification par numéro de téléphone, il est nécessaire d’ajouter le feature flag A2_ALLOW_PHONE_AUTHN_MANAGEMENT dans les réglages (settings) Django d’Authentic.

Champ téléphone utilisé en tant qu’identifiant de l’usager
Pour définir quel est le champ de type Numéro de téléphone à utiliser en tant qu'identifiant. Ces champs sont configurables dans Système > Profil usager.

Durée de vie des codes SMS (en secondes)
Durée (exprimée en seconde, comprise entre 60 et 3600) au bout de laquelle le code envoyé à l’usager arrive à expiration. La valeur par défaut (si ce champ est laissé vide) est 180.

OpenID Connect

FranceConnect