Implémentation de Google Authenticator pour 2FA avec LDAP/AD

  • Blog
  • Implémentation de Google Authenticator pour 2FA avec LDAP/AD

Expérience en matière de fiabilité du site

Voir les catégories

Implémentation de Google Authenticator pour 2FA avec LDAP/AD

2 min de lecture

Table des Matières

Qu'est-ce que Google Authenticator ? #

Google Authenticator est une application mobile qui fournit un deuxième facteur d'authentification à l'aide de mots de passe à usage unique basés sur le temps (TOTP).
Il est largement utilisé pour mettre en œuvre l'authentification à deux facteurs (2FA) et fonctionne sans connexion Internet une fois configuré.

Fonctionnement de Google Authenticator : TOTP vs HOTP #

Google Authenticator prend en charge deux algorithmes pour générer des mots de passe à usage unique :

  • TOTP (mot de passe à usage unique basé sur le temps) : Implémentation la plus courante. L'OTP change toutes les 30 secondes et repose sur un secret partagé et l'horodatage actuel.
  • HOTP (mot de passe à usage unique basé sur HMAC) : Moins couramment utilisé. Il génère des OTP à partir d'un compteur qui s'incrémente à chaque demande de code. Le serveur doit suivre l'état du compteur.

At RELIANOID, nous utilisons TOTP pour notre portail 2FA car il garantit une validation temporelle transparente et évite les problèmes de synchronisation des compteurs.

RELIANOID 2FA avec Google Authenticator et intégration AD/LDAP #

Débit de haut niveau #

  1. L'utilisateur se connecte avec son nom d'utilisateur et son mot de passe (validés par LDAP/AD).
  2. Si l'utilisateur n'a pas de secret TOTP enregistré :
    • Un nouveau secret TOTP est généré sur le backend.
    • Un code QR (contenant le secret au format URI) est affiché pour que l'utilisateur puisse le scanner avec Google Authenticator.
    • L'utilisateur saisit ensuite le premier OTP à 6 chiffres pour terminer l'enregistrement.
    • Le secret est stocké dans un attribut LDAP/AD personnalisé (par exemple, otpSecret).
  3. Si l'utilisateur a déjà un secret enregistré :
    • Le backend vérifie l'OTP fourni par rapport au secret à l'aide d'un algorithme TOTP (par exemple, RFC 6238).

Considérations de sécurité #

  • Communication sécurisée avec LDAP (LDAPS ou StartTLS).
  • Restreindre l'accès à otpSecret attribuer.
  • Stockez les secrets à l'aide de l'encodage base32 et évitez la visibilité directe dans les journaux.
  • Utilisez la synchronisation d'horloge (par exemple, NTP) pour garantir un comportement TOTP cohérent.

Conclusion #

Intégration de Google Authenticator dans le RELIANOID Le portail 2FA renforce la sécurité des utilisateurs sans compromettre la convivialité. Grâce à la prise en charge d'AD et de LDAP, le déploiement est transparent dans la plupart des environnements d'entreprise.

Besoin d'aide pour configurer votre intégration 2FA ? Contact le RELIANOID équipe d'assistance disponible 24h/7 et XNUMXj/XNUMX.

📄 Téléchargez ce document au format PDF #

    E-MAIL: *

    Sécurité accrue. Efforts réduits. Succès durable. Meilleurs Docs