FAQ Administrateur

Généralités

Choisissez la solution In-Webo Entreprise pour des usages Corporate (les utilisateurs à authentifier sont vos employés ou sous-traitants) ou pour des usages B2B (les utilisateurs à authentifier sont les employés ou sous-traitants de vos entreprises clientes, partenaires, ...). La solution In-Webo Entreprise traite exhaustivement les besoins de contrôle d'accès aux données sensibles de l'entreprise : accès distant ou mobile des collaborateurs, accès des partenaires et clients, accès aux applications du Cloud.

Choisissez la solution In-Webo Safe Transactions pour des usages Grand Public pour lesquels vous recherchez une solution de sécurité.

Choisissez la solution In-Webo Identity Guard pour des usages Grand Public pour lesquels vous recherchez une alternative aux mots de passe, plus simple et davantage "centrée sur l'utilisateur".

Pour vous aider, un comparatif des solutions In-Webo est disponible en ligne.
Une fois votre choix fait, la seule modification possible est l'upgrade d'une solution Identity Guard en solution Safe Transactions. Si au cours de la période de test vous vous rendez compte que c'est une solution autre que celle que vous avez choisie qui répond à vos besoins, il vous suffit de créer un nouveau compte utilisant cette solution.

La mise en place de votre solution d'authentification se fait selon les étapes suivantes :

  • Création du compte de votre organisation en complétant le formulaire de création d'un compte client. Vous pouvez notamment choisir la solution In-Webo adaptée à vos besoins (cf. article de ce FAQ)
  • Activation de l'application InWebo pour le premier administrateur
  • Configuration de la solution d'authentification dans la console d'administration, principalement dans l'onglet 'Gestion des services' > 'Gérer les paramètres du service'
  • Le cas échéant, intégration des API de provisioning et d'authentification
  • Enfin, fourniture de codes d'activation à vos utilisateurs afin qu'ils puissent mettre en oeuvre l'authentification forte In-Webo sur vos services et applications

La console est l'outil d'administration de votre solution d'authentification In-Webo. Elle propose les fonctions suivantes :

  • Gestion des services et définition de la politique d'authentification
  • Gestion des utilisateurs
  • Gestion du contrat : achat de comptes et d'options, visualisation des factures...
  • Reporting
  • Support et assistance

L'accès des utilisateurs habilités (administrateurs, managers) à la console d'administration est sécurisé et ne peut avoir lieu que depuis l'application InWebo pour PC ou Mac, c'est-à-dire que la console d'administration est un Service utilisant l'authentification In-Webo.

In-Webo implémente 3 rôles par défaut : Utilisateur, Manager et Administrateur. Ces rôles sont cumulables.

  • Le rôle Administrateur a accès à toutes les fonctions de la console d'administration.
  • Le rôle Manager n'a accès qu'à l'onglet 'Utilisateurs' de la console.
  • Le rôle Utilisateur simple n'a pas accès à la console.

Un Administrateur ou un Manager n'a pas nécessairement accès au Service, c'est-à-dire n'en est pas nécessairement Utilisateur.

Certaines offres permettent enfin de créer des rôles "custom" auxquels vous pourrez accorder des droits d'administration précis, fonction par fonction.

L'accès à la console d'administration se fait depuis l'application InWebo pour PC ou Mac d'un Manager ou Administrateur, en utilisant le bouton 'My InWebo' de l'extension de navigateur InWebo associée. L'Administrateur ou Manager peut à tout moment passer de son compte My InWebo à son compte console grâce au sélecteur situé en haut à droite de l'écran.

Gestion du contrat

L'onglet 'Contrat client' de la console d'administration permet de visualiser et gérer les informations liées à votre contrat.

Les informations uniquement visualisables, liées à votre contrat ou à son activité sont les suivantes :

  • Votre réference client
  • La date de renouvellement du contrat
  • Le nombre de services rattachés au contrat
  • Le nombre d'utilisateurs activé
  • L'historique des factures du contrat

Les actions que vous pouvez réaliser sont les suivantes :

  • Editer les informations du contact principal (technique) et du contact de facturation (destinataire des factures)

La date de référence du contrat correspond à la fin de la période de test gratuit. Elle sert de référence pour les options payantes facturées annuellement.

  • Si vous souscrivez à une option payante pendant la période de test gratuit, cette option sera valable 1 an plus le temps restant de la période de test.
  • Si vous souscrivez à une option payante additionnelle après la fin de la période de test, vous ne payez qu'au prorata du temps vous séparant de l'anniversaire de la date de référence.

Les options payantes, comme leur nom l'indique, sont optionnelles. Elles ne deviennent payantes qu'après la fin de la période de test gratuit. Certaines options ne sont pas disponibles pendant la période de test.

  • Pour la solution In-Webo Entreprise, vous devez souscrire à un abonnement correspondant au nombre d'utilisateurs susceptibles de s'authentifier sur vos services en utilisant les moyens In-Webo, indépendamment de l'usage ou du nombre de moyens d'authentification mis en oeuvre par ces utilisateurs. Vous ne pouvez provisionner d'utilisateurs qu'à concurrence du nombre d'abonnements souscrits. Vous avez le choix entre des abonnements mono-services et des abonnements multi-services. Un abonnement mono-service ne permet à un utilisateur de s'authentifier qu'à un seul de vos services (et à tous les 'Favoris InWebo' associés à ce service) alors qu'un abonnement multi-service n'impose pas cette contrainte.
  • Pour la solution In-Webo Safe Transactions, la notion d'abonnement n'existe pas. Vous êtes facturé à la transaction ou à l'utilisateur actif, selon votre choix.
  • Pour la solution In-Webo Identity Guard, il n'y a pas non plus d'abonnement, l'authentification est gratuite. Vous pouvez néanmoins souscrire à des options payantes.

Gérer les paramètres d'un service

Un Service - au sens abstrait - est un ensemble de ressources dont l'accès par les utilisateurs est contrôlé grâce à une solution d'authentification associée à une politique de sécurité donnée.

Du point de vue de votre solution d'authentification In-Webo, vous pouvez regrouper au sein d'un même Service plusieurs 'Favoris' (url) dès lors que ces Favoris partagent une politique de sécurité et un groupe d'utilisateurs, et que l'identifiant (login) de ces utilisateurs est identique pour chaque Favori.

Si des Favoris diffèrent par leurs utilisateurs ou leur politique de sécurité, ou bien si les utilisateurs possèdent des identifiants différents pour ces Favoris, vous devrez créer des Services distincts.

Pour créer un Service dans le même contrat In-Webo, utilisez le lien 'Ajouter un nouveau service' de l'onglet 'Paramètres des services' de la console d'administration. Vous pouvez regrouper des Services au sein de votre contrat s'ils partagent un même mode de facturation, c'est-à-dire s'appuient sur la même solution In-Webo.

Pour créer des Services s'appuyant sur des modes de facturation différents - par exemple l'authentification de vos clients à votre site grâce à la solution Identity Guard, l'authentification de vos employés à vos applications métier grâce à la solution Entreprise -, utilisez des contrats différents. Un nouveau contrat est créé en utilisant le formulaire de création d'un compte client.

Si vous avez un rôle 'Administrateur' ou 'Manager' pour des services  dépendant de contrats distincts, vous pouvez naviguer entre les vues associées à chaque contrat grâce au sélecteur de 'client' situé en haut de la console d'administration.

Un Connecteur désigne une méthode d'interrogation de l'API d'authentification In-Webo. Les méthodes supportées sont les suivantes :

  • Web Services (SOAP) pour toutes les solutions In-Webo (Entreprise, Safe Transactions, Identity Guard); cette méthode est également supportée pour l'API de provisioning In-Webo
  • SAML 2.0 et Radius pour la solution In-Webo Entreprise
  • Les connecteurs prédéfinis des applications SaaS du marché (Google Apps, Salesforce.com, ADP-GSI, etc.) pour la solution In-Webo Entreprise

Les Connecteurs SAML 2.0, Radius et SaaS n'ont pas besoin d'être intégrés dans votre Service ou application : une configuration est suffisante. Le Connecteur SOAP nécessite une intégration si vous maîtrisez l'ingénierie de votre site ou application; si vous utilisez un CMS du marché, In-Webo fournit des extensions de CMS vous évitant toute intégration.

L'onglet 'Paramètres des services' de la console d'administration vous permet de configurer la politique d'authentification que vous souhaitez mettre en place pour un Service donné. Cette politique est appliquée pour tous les utilisateurs provisionnés pour ce Service.

Plus précisément, cet onglet permet :

  • De définir l'apparence de votre Service dans les outils d'authentification des utilisateurs : nom et logo
  • De choisir et configurer le 'Connecteur' permettant à votre Service ou application d'interroger le service In-Webo.
  • De définir les moyens d'authentification employables par vos utilisateurs (Applications pour mobiles, InWebo Helium, Application pour PC ou Mac, mAccess) ainsi que les politiques d'authentification associées à ces outils
  • De définir de façon plus précise les fonctionnalités disponibles pour vos utilisateurs en lien avec votre Service : disponibilité de plusieurs 'Favoris' (url de services), authentification, scellement ou signature, etc.

Un Favori InWebo est un 'sous-service', c'est-à-dire une ressource pour laquelle l'accès par les utilisateurs nécessite une authentification. Les favoris d'un Service suivent une même politique de sécurité et ont le même groupe d'utilisateurs - ceux du Service.

S'il s'agit de ressources web, vous pouvez définir pour chaque Favori InWebo une url appelée, une page d'authentification et un formulaire d'authentification distincts :

  • L'url appelée est celle que l'application InWebo pour PC ou Mac appelle lorsque le Favori est sélectionné depuis l'extension de navigateur InWebo associée
  • Le formulaire d'authentification, sur la page d'authentification, est celui que l'application InWebo tente de remplir automatiquement

L'url appelée et la page d'authentification peuvent être différentes; notamment, l'application InWebo supporte des scénarios de redirection de navigateur tels que ceux mis en oeuvre dans les systèmes de fédération d'identité.

Lorsque vous créez un contrat In-Webo, vous obtenez des droits sur la console d'administration en tant qu'administrateur. Dans la console, un Service et un Favori sont préconfigurés. Ce Service est un mini-site de démonstration. Il vous est dédié. Vous en administrez la politique d'authentification et vous pouvez, sans autre préalable, "créer" des utilisateurs de ce Service et leur donner des droits afin qu'ils testent votre solution d'authentification (cf. onglet 'Utilisateurs des services'). Vous pouvez ainsi observer directement l'impact des actions d'administration que vous effectuez.

L'url de ce Service de démonstration est renseignée dans le champ "url appelée" du Favori "Demo site", visible dans l'onglet 'Paramètres des services'. Si vous testez avec l'application InWebo pour PC ou Mac, vous n'avez même pas à connaître cette url puisqu'elle sera automatiquement appelée par l'application.

Enfin, lorsque le test est concluant, pour utiliser l'authentification In-Webo sur vos propres services ou applications, vous pouvez soit créer un nouveau Service depuis la console d'administration, soit modifier les paramètres du Service de démonstration.

En plus de l'OTP (mot de passe à usage unique) qu'elle calcule, l'application InWebo pour PC ou Mac permet la saisie automatique dans le formulaire de la page d'authentification de votre Service de l'identifiant utilisateur et d'informations supplémentaires.

Dans l'onglet 'Paramètres des services' de la console d'administration, vous pouvez choisir, pour chaque champ identifiant et informations supplémentaires, si lors de l'authentification de l'utilisateur l'application InWebo obtient ce champ de la plate-forme In-Webo (si vous l'avez provisionné dans le profil de l'utilisateur) ou si l'utilisateur doit saisir ce champ.

Lorsque l'utilisateur doit saisir ce champ, vous pouvez de plus définir si la saisie est affichée ou non en clair, et si l'application InWebo peut mémoriser la saisie pour l'usage suivant.

Par exemple, si vous ne souhaitez pas provisionner l'identifiant dans le profil utilisateur de la plate-forme In-Webo, vous pouvez choisir de laisser l'utilisateur le saisir lors de la première authentification et configurer l'application InWebo afin qu'elle mémorise localement cette information.

Dans l'onglet 'Gestion des services' > 'Gestion des paramètres du service' de la console d'administration, vous pouvez définir le format et la longueur des OTP (mots de passe à usage unique) générés par les différents moyens d'authentification In-Webo.

Les formats actuellement proposés sont chiffres uniquement, ou chiffres et lettres "case insensitive", c'est-à-dire que la plate-forme In-Webo considère minuscules et majuscules de façon indifférenciée. Choisir le format vous permet soit de respecter des contraintes du champ "mot de passe" de votre formulaire d'authentification existant, soit de vous adapter au canal via lequel l'OTP est transmis par l'utilisateur, par exemple uniquement des chiffres si l'utilisateur doit saisir l'OTP sur un clavier téléphonique.

La longueur de l'OTP influence directement sa sécurité, que l'on peut définir comme la probabilité de trouver par hasard un OTP valide pour un utilisateur donné. Plus l'OTP est long, plus il est sûr, mais plus il est fastidieux à saisir par vos utilisateurs (cas où l'OTP est généré avec nCode). Précisons enfin que pour une même longueur (nombre de caractères identique), un OTP dont le format est chiffres et lettres est plus sûr qu'un OTP dont le format est chiffres uniquement.

Ceci est synthétisé dans les tableaux ci-dessous :

InWebo nCode ...   ...   ................. InWebo PC & Mac ...   ...  
Format   Probabilité   Solutions   Format   Probabilité   Solutions
7C   6,1E-05   IG   7C   -   -
8C   8,6E-06   E/ST   8C   1,2E-07   E/ST/IG
6LC   9,5E-07   E/ST   6LC   -   -
7LC   4,8E-07   E/ST   7LC   -   -
8LC   1,19E-07   E/ST   8LC   3,6E-12   E/ST
20LC   -   -   20LC   7,9E-31   E/ST
  • 'C' désigne le format chiffres uniquement, 'LC' désigne chiffres et lettres.
  • La probabilité fournie est celle de trouver au hasard un OTP valide pour un utilisateur donné.
  • Les solutions listées sont celles pour lesquelles le format est proposé. 'IG' désigne la solution In-Webo Identity Guard, 'ST' désigne In-Webo Safe Transactions, 'E' désigne In-Webo Entreprise.

Pour plus de détails sur les protocoles d'authentification mis en oeuvre et leur sécurité, prenez contact avec l'équipe In-Webo via le formulaire contact.

Gérer les utilisateurs d'un service

L'onglet 'Utilisateurs des services' de la console d'administration vous permet d'administrer les utilisateurs de vos différents Services. Vous pouvez notamment :

  • Créer des utilisateurs d'un Service, leur affecter des rôles et des Favoris, leur fournir un code d'activation
  • Supprimer des utilisateurs ou bloquer leur accès de façon réversible
  • Fournir un support aux utilisateurs existants : rechercher un utilisateur, consulter son statut d'activation et le statut des moyens d'authentification dont il dispose, fournir un code de déblocage du Service à un utilisateur, renvoyer un code d'activation s'il a expiré, etc.

Les possibilités de création d'utilisateurs diffèrent selon les solutions In-Webo :

  • Création via l'API de provisioning : disponible dans toutes les solutions (Entreprise, Safe Transactions, Identity Guard)
  • Création via la console d'administration (onglet 'Utilisateurs des services') : la création d'utilisateurs dans la console est également disponible pour toutes les solutions, mais en pratique, seule la solution Entreprise permet d'envoyer un lien d'activation par mail à l'utilisateur nouvellement créé. L'API de provisioning reste donc le moyen privilégié de création d'utilisateurs pour les solutions Safe Transactions et Identity Guard
  • Création par synchronisation d'annuaires externes (AD, Google Apps, etc.) : un outil "In-Webo Directory Synchronizer" est fourni en option de la solution Entreprise

Si vous ne pouvez pas ajouter de nouveaux utilisateurs, c'est soit parce que vous êtes dans la période de test gratuit, pendant laquelle le nombre d'utilisateurs pouvant être créés est limité, soit parce que vous utilisez la solution In-Webo Entreprise et avez déjà créé le nombre maximal d'utilisateurs correspondant aux abonnements que vous avez souscrits.

Dans le premier cas, il vous suffit d'activer la solution dans l'onglet 'Contrat client' de votre console d'administration. Dans le second cas, vous pouvez souscrire de nouveaux abonnements dans ce même onglet. Ces abonnements sont achetés pour la période courant jusqu'à la date anniversaire de la date de référence de votre contrat et facturés prorata temporis.

Les codes d'activation préactivés sont valides 15 minutes, ils doivent donc être distribués dès leur génération aux utilisateurs.

Les solutions In-Webo Safe Transactions et Entreprise permettent de générer des codes non préactivés, valides 3 semaines; ces codes peuvent ainsi être envoyés aux utilisateurs de façon différée, par exemple dans une campagne de mailing. Un code non préactivé doit être utilisé pour un enrôlement online, c'est-à-dire que votre utilisateur doit se connecter à votre site pour pouvoir s'enrôler; vous devez alors utiliser une fonction de l'API In-Webo pour activer ce code; il devient valide pour une durée de 15 minutes.

Enfin, la solution In-Webo Entreprise permet de générer des liens d'activation, également valides 3 semaines; les liens peuvent être utilisés pour un enrôlement offline, c'est-à-dire que l'utilisateur n'a pas besoin de se connecter à votre site ou application pour réaliser l'enrôlement; il lui suffit dans ce cas de suivre le lien afin de générer un code valide pour une durée de 15 minutes.

L'affichage d'un profil utilisateur dans la console d'administration vous donne accès à deux statuts distincts relatifs à un utilisateur déclaré pour l'un de vos Services :

  • L'état d'activation de l'utilisateur
  • L'état des outils d'authentification de l'utilisateur

L'état d'activation de l'utilisateur vous indique si l'utilisateur a bien saisi le code d'activation que vous lui avez fourni.

  • L'état vaut "Activé" (vert) si c'est le cas;
  • Il vaut en "En cours" (orange) si vous avez généré un code d'activation pour cet utilisateur mais que ce code n'a pas encore été saisi par l'utilisateur;
  • il vaut "Inactif" (rouge) si la période de validité du code généré pour cet utilisateur a expiré sans que le code n'ait été saisi par l'utilisateur.

En tout état de cause, l'utilisateur ne peut s'authentifier à votre Service que si son état d'activation est "Actif", et qu'il ne soit pas "Bloqué".

L'état des outils d'authentification vous indique la capacité d'un utilisateur à s'authentifier à vos Services; Un outil est actif (utilisable) s'il a été activé et s'il n'a pas été bloqué par la saisie de 3 codes PIN ou mots de passe faux. Il y a un voyant par outil  :

  • S'il est vert, l'outil est actif
  • S'il est rouge, l'outil est bloqué

Si tous les outils, tous types confondus, sont bloqués et si l'utilisateur est activé vous pouvez choisir de restaurer cet utilisateur.

Si un utilisateur possède un ou plusieurs moyens d'authentification actifs, il peut s'authentifier à vos services sous réserve d'avoir accès à ce(s) moyen(s) et de ne pas avoir oublié le code PIN ou le mot de passe InWebo associé à ce(s) moyen(s).

Les statuts disponibles pour un utilisateur (cf. article ci-dessus) vous permettent d'apporter le support adéquat à un utilisateur :

  • Non-activation du Service : si l'état d'activation de l'utilisateur vaut "En cours" ou "Inactif", il faut expliquer à l'utilisateur ce qu'il doit faire du code d'activation qu'il a dû recevoir, voire lui en fournir un nouveau
  • Moyens d'authentification bloqués : si l'utilisateur est "Actif" mais que le statut de tous les moyens d'authentification dont il dispose est rouge, il faut fournir à votre utilisateur un "code de déblocage" et une explication sur son utilisation (installer un nouvel outil d'authentification et y saisir le code de déblocage); Si l'utilisateur est actif et dispose d'outils d'authentification non bloqués il vaut mieux d'abord s'enquérir pourquoi l'utilisateur ne se sert pas du ou des moyens d'authentification encore actifs dont il dispose, et en dernier recours lui fournir un code de déblocage