L’authentification multifacteur permet de protéger votre compte avec plus qu’un simple mot de passe. Une fois que votre compte est configuré pour utiliser cette fonctionnalité, vous devrez entrer votre mot de passe comme d’habitude, mais en plus effectuer une deuxième action (le deuxième facteur), pour avoir accès à la plupart de nos services.

Présentement, les facteurs pour cette deuxième étape d’authentification sont :

• accepter une notification sur votre appareil intelligent dans l’application Duo Mobile;
• utiliser un code généré sur demande;
• presser un bouton sur une clé matérielle (YubiKey).
  

L’authentification multifacteur sera progressivement déployée pour la plupart de nos services.

Enregistrement des facteurs

Enregistrer plusieurs facteurs

Lorsque vous activez l'authentification multifacteur pour votre compte, nous vous recommandons fortement d’enregistrer au moins deux options pour votre deuxième facteur. Vous pouvez par exemple vous servir de votre téléphone et de codes à usage unique; de votre téléphone et d’une clé YubiKey; ou encore de deux clés YubiKey. De cette façon, si une de ces options ne peut pas être employée, vous aurez un autre facteur pour accéder à votre compte.

Pour utiliser un téléphone ou une tablette

1. Installez l'application Duo Mobile à partir du Apple Store ou de Google Play.
2. Connectez-vous à votre compte avec l’Alliance et cliquez sur Mon compte → Gestion de l'authentification multifacteur.
3. Sous Enregistrer un appareil, cliquez sur Duo Mobile.
4. Entrez un nom pour identifier votre appareil.
5. Balayez le code QR qui est affiché.

De la taille d’une petite clé USB, les clés YubiKey coûtent entre 50 et 100 dollars. Différents modèles sont compatibles avec les ports USB-A, USB-C et Lightning et certaines permettent la communication en champ proche (NFC) avec un téléphone ou une tablette.

Parmi les protocoles supportés, Yubico OTP (one-time password) est celui qui convient à la connexion SSH supportée par nos grappes. Une fois que votre clé est enregistrée à votre compte comme facteur d'authentification, quand vous tenterez de vous connecter à une de nos grappes, on vous demandera d'entrer un mot de passe à utilisation unique (OTP). Vous appuyez alors sur le bouton de la clé, ce qui génère une chaîne de 32 caractères qui forme un mot de passe à entrer.

Pour enregistrer votre YubiKey, entrez son identifiant public, son identifiant privé et sa clé secrète dans la page Gestion de l'authentification multifacteur. Si ces renseignements ne sont pas disponibles, configurez votre clé comme suit.

Configurer votre YubiKey pour Yubico OTP

1. Téléchargez et installez YubiKey Manager à partir du site Web de Yubico.
2. Insérez la clé YubiKey et lancez YubiKey Manager.
3. Dans YubiKey Manager, cliquez sur Applications puis sur OTP.
4. Vous pouvez ici configurer la façon de toucher sur le bouton. Par défaut, Short Touch (Slot 1) identifie une touche légère sur le bouton de la clé pour passer mode Yubico Cloud et Long Touch (Slot 2) correspond à une touche plus ferme le bouton de la clé.

Cliquez sur Configure sous Slot 1 ou Slot 2, ou sur Swap pour inverser le comportement.

1. Sélectionnez Yubico OTP.
2. Sélectionnez Use serial pour générer un identifiant privé et une clé secrète. Faites une copie des deux identifiants et de la clé secrète avant de cliquer sur Finish parce que vous en aurez besoin à la prochaine étape>/b>. Gardez cette fenêtre ouverte.
3. Connectez-vous à la CCDB et cliquez sur Mon compte → Gestion de l'authentification multifacteur pour entrer les données pour votre clé.

Using your second factor

When connecting via SSH

If your account has multifactor authentication enabled, when you connect via SSH to a cluster which supports MFA, you will be prompted to use your second factor after you first use either your password or your SSH key. This prompt will look like this:

[name@server ~]$ ssh cluster.computecanada.ca
Duo two-factor login for name
</div>

<div lang="en" dir="ltr" class="mw-content-ltr">
Enter a passcode or select one of the following options:
</div>

 <div lang="en" dir="ltr" class="mw-content-ltr">
1. Duo Push to My phone (iOS)
</div>

<div lang="en" dir="ltr" class="mw-content-ltr">
Passcode or option (1-1):

At this point, you can either select which phone or tablet you want Duo to send a notification to. If you have multiple devices enrolled, you will be shown a list. You will then get a notification on your device, which you accept to complete the authentication.

If you are using a YubiKey, a backup code, or if you prefer to enter the time-based one-time password that the Duo Mobile application shows, you would write these instead of selecting an option. For example:

[name@server ~]$ ssh cluster.computecanada.ca
Duo two-factor login for name
</div>

<div lang="en" dir="ltr" class="mw-content-ltr">
Enter a passcode or select one of the following options:
</div>

 <div lang="en" dir="ltr" class="mw-content-ltr">
1. Duo Push to My phone (iOS)
</div>

<div lang="en" dir="ltr" class="mw-content-ltr">
Passcode or option (1-1):vvcccbhbllnuuebegkkbcfdftndjijlneejilrgiguki
Success. Logging you in...

Host HOSTNAME
    ControlPath ~/.ssh/cm-%r@%h:%p
    ControlMaster auto
    ControlPersist 10m