Doc publique

• Authentification multifacteur avec edu-ID
• Multifactor Authentication With edu-ID

Authentification multifacteur avec edu-ID

Vous pouvez dès à présent activer et configurer l'authentification à deux facteurs sur votre compte SWITCH edu-ID. 

Le Ci active progressivement l'authentification multifacteur (ou MFA, authentification forte ou encore authentification à deux facteurs) pour divers services afin d'augmenter le degré de sécurité de nos applications (plus d'infos sur notre blog). En plus de votre mot de passe, il vous sera demandé soit

• un code à usage unique, généré dans une application prévue à cet usage, appelée TOTP (comme Google Authenticator),
• de valider une demande authentification sans mot de passe utilisant la technologie Passkey
• (ou reçu via SMS, mais ce dernier est déconseillé pour des raisons de fiabilité!).

L'identité edu-ID inclut l'utilisation de l'authentification multifacteur, et son activation est facile. Pour lire la documentation officielle de SWITCH sur la MFA et l'edu-ID, rendez-vous ici: https://help.switch.ch/fr/eduid/docs/services/login/two-step-login/ (en anglais).

Activation

(adapté de la documentation de SWITCH)

Pour activer l’authentification en deux étapes, rendez-vous sur votre compte SWITCH edu-ID à l’adresse https://eduid.ch et cliquez sur l'onglet Sécurité et cliquez sur le bouton On à côté de Authentification multifacteur,

ou allez directement aux paramètres de l’authentification en deux étapes (https://eduid.ch/mfa/initial).

Activez ensuite l’une des méthodes d’authentification en deux étapes. Nous vous recommandons d’utiliser une application mobile d’authentification pour obtenir vos codes.

App d'authentification

Il vous saura d'abord demandé un numéro de téléphone portable au cas où vous auriez besoin de récupérer votre compte :

Ensuite, il vous faut enregistrer votre clé secrète qui servira à générer les codes :

Les applications mobiles suivantes fonctionnent entre autres : Twilio Authy, FreeOTP, Google Authenticator, Microsoft Authenticator, BitWarden Authenticator, ou encore OTP Auth. (D’autres applications qui supportent le standard TOTP peuvent également être utilisées.) Plus d'informations sur iBarry.ch. L'extension de navigateur 2FAS peut être utilisée sans téléphone mobile.

De plus en plus de gestionnaires de mot de passe offrent la possibilité de gérer à la fois vos mots de passe ainsi que le 2e facteur au sein d'une seule et unique app, comme le trousseau macOS (dernière version) ou BitWarden (version premium). Cela a aussi l'avantage d'être synchronisé sur différents devices.

N'oubliez pas de bien prendre note de votre code de secours et de le sauvegarder.

Passkey

Une nouvelle technologie d'authentification, appelée Passkey peut être configurée. Cela vous permet de vous connecter de façon sécurisée et sans mot de passe. Vous trouverez plus d'informations (en anglais) ici: https://help.switch.ch/fr/eduid/docs/services/login/auth/passkey/.

SMS

La dernière option, que nous déconseillons fortement pour une raison de fiabilité et qui sera peu à peu retirée, est d'utiliser le SMS. Un code vous sera envoyé à chaque connexion nécessitant un 2e facteur.

Si vous utilisez un numéro de téléphone non suisse, sachez que certains pays ou opérateurs peuvent limiter la réception de SMS, ou vous les faire payer. Nous vous recommandant dans ce cas de passer par une application d'authentification plutôt que le SMS.

---

Il est possible d’activer plus d’une méthode de connexion, et de multiples Passkey.

Selon le réglage, l’authentification en deux étapes n’est utilisée que pour les services qui en ont besoin (Sur demande) ou pour tous les services (Toujours).

Pour désactiver l’authentification en deux étapes, retournez vers l'onglet Sécurité et cliquez sur le bouton Off à côté de l'option Authentification multifacteur (https://eduid.ch/account/security).

Vous devrez peut-être réinitialiser ou revérifier le code de vérification si vous réactivez ultérieurement une méthode particulière.

La plupart des applications d’authentification mentionnées ci-dessus fonctionnent également pour d'autres fournisseurs de services, comme Google, Facebook, etc.

Connexion

Lorsque vous vous connecterez à une page nécessitant un deuxième facteur, après avoir entré votre adresse email, selon votre configuration MFA, vous devrez sélectionner soit d'entrer un mot de passe, soit de procéder via une Passkey :

TOTP

Si vous utilisez un mot de passe, renseignez-le

entrez ensuite le code TOTP généré dans l'app que vous aurez configurée au préalable

Connexion au VPN Ivanti Secure Access

À chaque connexion au VPN, vous serez présenté avec la fenêtre de login edu-ID familière, vous demandant d’insérer votre adresse email :

Ensuite, il vous sera demandé de choisir entre un accès via mot de passe et code TOTP ou Passkey, selon ce que vous avez configuré :

Si vous n’avez pas encore activé votre 2e facteur, le processus vous guidera dans la configuration de ce dernier. En cliquant sur continuer, vous serez amené à la page Sécurité où vous pourrez configurer l'Authentification Multifacteur (https://eduid.ch/account/security) de votre compte edu-ID :

Si vous optez pour le mot de passe et TOTP, ceux-ci vous seront maintenant demandés. Si vous avez opté pour l’application pour votre 2e facteur, lancez ce dernier, et copiez le code affiché :

Si vous avez choisi d’utiliser le SMS, vous en recevrez un sur votre téléphone mobile, qu’il faudra insérer dans la fenêtre suivante :

Le processus se terminera et vous serez ensuite connecté au VPN !

Lors de l’activation de la connexion edu-ID sur le VPN, le processus d’authentification passera par un navigateur embarqué, afin de s’assurer que le navigateur ne soit pas vérolé ou compromis. Cela signifie que vous ne pourrez pas sauvegarder votre mot de passe edu-ID dans ce navigateur. Nous vous conseillons donc d’utiliser un gestionnaire de mot de passe, et copier/coller votre adresse email et mot de passe edu-ID, ou de passer par https://crypto.unil.ch

Passkey

Passkey, ou clé d'accès, est un nouveau standard qui émerge, soutenu par les acteurs majeurs d'internet et devrait, à terme, être LA solution d'authentification sécurisée. Edu-ID est maintenant compatible Passkey. Une fois configuré, cela permet de s'authentifier de façon "passwordless", sans devoir à insérer son mot de passe. Vous trouverez un article intéressant sur les Passkey ici: https://www.ibarry.ch/fr/dispositifs-securises/passkeys/

La technologie est encore récente, et les façons de configurer les Passkey sont multiples. Pas tous les OS, apps ou devices sont compatibles. Vous trouverez plus d'information dans la FAQ de Switch.

Cela se configure par device! Donc il vous faudra configurer une Passkey pour votre portable, une pour votre téléphone mobile, etc. Ou, vous pouvez passer par un gestionnaire de mot de passe, comme BitWarden, et là, la Passkey est utilisable sur plusieurs devices.

Merci de remonter au helpdesk tout problème ou incompatibilité rencontrés lors de la configuration ou l'utilisation du Passkey.

Questions / Problèmes

Connexion à Ivanti Secure Access

Il arrive qu'à la suite de l'activation de la double-authentification, la connexion à Ivanti Secure Access ne fonctionne plus. La solution consiste alors à le désinstaller puis à le réinstaller (en suivant notre documentation).

Vous trouverez réponse à plusieurs questions concernant l'authentification multifacteur sur le site officiel de SWITCH edu-ID: https://eduid.ch/help?lang=fr#two-step-login-accordion

Multifactor Authentication With edu-ID

You can now enable and configure two-factor authentication for your SWITCH edu-ID account.

Central IT services are progressively activating multifactor authentication (or MFA, strong authentication, or two-factor authentication) for various services to increase the security level of our applications (more info on our blog, in French). In addition to your password, you will be asked for either:

• A one-time code generated in an application designed for this purpose, called TOTP (such as Google Authenticator),

• To validate an authentication request without a password using Passkey technology

• (or received via SMS, but this is not recommended for reliability reasons).

The edu-ID identity includes the use of multifactor authentication, and its activation is easy. To read the official SWITCH documentation on MFA and edu-ID, visit the following page: https://help.switch.ch/fr/eduid/docs/services/login/two-step-login/

Activation

(adapted from the official SWITCH documentation)

To enable two-step login, go to your SWITCH edu-ID account at https://eduid.ch and click on the Security tab, and then click the On button next to Multifactor Authentication,

or go directly to the two-step login settings (https://eduid.ch/mfa/initial).

Next, activate one of the two-step authentication methods. We recommend using a mobile authenticator app to obtain your codes.

Authenticator app

You will first be asked for a mobile phone number in case you need to recover your account:

Next, you need to register your secret key, which will be used to generate the codes:

The following mobile apps, among others, work: Twilio Authy, FreeOTP, Google Authenticator, Microsoft Authenticator, BitWarden Authenticator, and OTP Auth. (Other applications that support the TOTP standard can also be used.) More information on iBarry.ch. The 2FAS browser extension can be used without a mobile phone.

More and more password managers offer the ability to manage both your passwords as well as the 2nd factor within a single app, such as macOS Keychain (latest version) or BitWarden (premium version). ). This also has the advantage of being synchronised across different devices.

Don't forget to take note of your recovery code and save it.

Passkey

A new authentication technology called Passkey can be configured. This enables you to login securely and without a password. You can find more information here: https://help.switch.ch/eduid/docs/services/login/auth/passkey/

SMS

The other option, which we do not recommend for reasons of reliability and will be gradually retired, is to use SMS. A code will be sent to you for each connection requiring a 2nd factor.

If you use a non-Swiss phone number, please be aware that certain countries and operators may limit the delivery of SMS messages, or charge for them. In this case, we recommend you use an authenticator app rather than the SMS option.

---

It is possible to enable more than one login method and multiple Passkeys.

Depending on your settings, two-step login is only used for those services that require it (On request) or for all services each time (Always).

To disable two-step authentication, go back to the Security tab and click the Off button next to the Multifactor Authentication option (https://eduid.ch/account/security).

Please note that this may mean that you need to reinitialise or reverify the verification code if you reactivate a certain method later on.

Most of the authenticator apps mentioned above work with multiple account providers too, such as Google, Facebook, etc.

Login

When you log in to a page requiring a second factor, after entering your email address, depending on your MFA configuration, you will need to either enter a password or proceed via a Passkey:

TOTP

If you choose the password, enter it

then enter the TOTP code generated in the app you previously configured

Login to the Avanti Secure Access VPN

Each time you connect to our VPN, you will be prompted with the familiar edu-ID login page, requiring you to enter your email address and edu-ID password:

Next, you will be asked to choose between access via password and TOTP code or Passkey, depending on what you have configured:

If you have not yet enabled your second factor, the process will guide you in configuring it. By clicking on continue, you will be taken to the Security page where you can configure the Multifactor Authentication (https://eduid.ch/account/security) for your edu-ID account:

If you choose password and TOTP, they will now be requested. If you have opted for the app for your second factor, launch it, and copy the displayed code:

If you chose SMS code, check your mobile phone and enter the received code:

The process will then end and you will be connected to the VPN!

When logging into the VPN using edu-ID, the authentication process uses an embedded browser, to be sure the browser is not insecure or compromised. This means that you won't be able to save your edu-ID password. We recommend using a password management too and copy/pasting your email address and edu-ID password, or connect via https://crypto.unil.ch

Passkey

Passkey, or access key, is a new emerging standard, supported by major internet players, and is expected to be THE secure authentication solution in the future. Edu-ID is now Passkey compatible. Once configured, it allows for "passwordless" authentication, without needing to enter your password. You can find an interesting article on Passkeys here: https://www.ibarry.ch/en/safe-devices/passkeys/

The technology is still new, and there are multiple ways to configure Passkeys. Not all OS, apps, or devices are compatible. You can find more information in the Switch FAQ.

It is configured per device! So, you will need to configure a Passkey for your laptop, one for your mobile phone, etc. Alternatively, you can use a password manager, such as BitWarden, and then the Passkey can be used on multiple devices.

Please report any problems or incompatibility encountered during Passkey configuration or use to the helpdesk.

Questions / Problems

Connecting to Ivanti Secure Access

It can happen that after enabling two-factor authentication, the connection to Ivanti Secure Access no longer works. The solution is to uninstall it and then reinstall it (following our documentation (in French)).

You will find the answers to multiple questions concerning multi-factor authentication on the official SWITCH edu-ID website: https://eduid.ch/help?lang=en#two-step-login-accordion