Securité - Intégration MFA

Bonjour,

TL;DR : la fonctionnalité vous intéresse-t-elle ? Avez-vous des billes par rapport à Gladys Plus à me donner ?

Avant de me lancer dans un dev’, je souhaiterais qu’on en discute, avoir validation, et quelques infos éventuelles sur la mise en œuvre potentiellement (je n’ai pas encore creusé la partie authent’ de Gladys et encore moins son interfaçage avec Gladys Plus que je ne connais pas).

Dans une logique de sécurisation des comptes, je propose d’ajouter la capacité, au niveau d’un profil utilisateur, de mettre en œuvre du MFA. L’idée est simple : via son profil le user peut scanner un QRCode avec son Authenticator favori, et à la connexion, après avoir saisir son user/mdp, il devrait entrer le TOTP correspondant. Simple et efficace.

Motivation : je cherche à renforcer la sécurité des instances Gladys, notamment pour ceux qui exposent leur Gladys sur les Internet. Oui c’est un scénario d’usage avancé et qui ne concerne pas tout le monde, mais toujours est-il que dans cette situation, je souhaite renforcer la sécurité du système.

@pierre-gilles ton avis ?

Je n’ai pas de problématique particulière sur le principe TOTP/QrCode/MFA. Me brancher dans le process d’authent’ : en fouillant le code je pense que je vais piger le truc.
Ma grosse interrogation est autour de Gladys Plus. Je n’ai aucune connaissance de ce produit, ni de sa gestion de l’authentification par rapport à l’instance Gladys qu’il gère et comment ce MFA interviendrait. Peut-être que, dans la façon dont c’est architecturé, je n’ai pas à me poser cette question ? Gladys Plus a son propre moyen d’authent’ ?

On en discute !

1 « J'aime »

Salut @Sescandell :slight_smile:

On a déjà du MFA sur Gladys Plus en TOTP (qui est obligatoire). On pourrait ajouter un MFA sur l’instance locale, mais bon c’est peut-être un peu overkill pour une instance qui n’est pas censé être sur internet (je ne le recommande pas en tout cas).

Après pourquoi pas ! Je pense pas que ça ait un impact sur Gladys Plus mais à tester quand même !

1 « J'aime »

Bonjour,

Je ne suis pas revenu sur ce sujet. Après court échange avec Pierre-Gilles, j’ai complètement mis de côté ce dev’. Non pas qu’elle n’est pas souhaitée, mais à priori pas prio (l’approche la plus simple recommandée pour accès à distance à Gladys étant de passer par Gladys Plus)

Je me suis tournée vers une approche de sécurité basée sur du VPN. L’instance n’est pas exposée directement sur les Internet. Je profite d’autres technos pour déléguer cette sécurité.

2 « J'aime »