Authentification

• Doc publique
• Comment intégrer l'authentification à un service ?
• Compte UNIL : Authentification multifacteur (MFA)
• edu-ID : Authentification multifacteur (MFA)

Doc publique

Comment intégrer l'authentification à un service ?

Intégrer une solution SSO à votre service

Avant de commencer l'intégration, il vous faut être au clair sur:

• qui va se connecter à votre service (quel(s) institution(s)? Si UNIL uniquement, est-ce un service ouvert à tous? Ou destiné qu'à un groupe d'utilisateurs?),
• par quel biais (uniquement un navigateur web? Ou une app?),
• est-ce un service qui nécessite une authentification forte/mutifacteurs?
  
• est-ce que votre service est bien compatible SAML ou OIDC?
• quelles informations (attributs) sont nécessaires pour s'authentifier à votre service?

Quel type d'authentification selon le type d'utilisateur

Cela dépend qui doit se connecter à votre service.

Si les personnes qui s'y connectent:

• ont tous un compte informatique UNIL -> Entra
• peuvent provenir d'autres institutions, ou à titre privé -> edu-ID

Les protocoles pris en charge sont:

• Le SAML (plus adapté pour les services web-based)
• ou OIDC

Entra

Adapté pour une utilisation interne, où tous les utilisateurs ont un compte UNIL. On peut limiter l'accès à un groupe d'utilisateurs (groupe AD/Sylvia), et demander un 2e facteur.

Utilise les identifiants UNIL.

Nécessite un échange de métadonnées, et l'intervention d'un admin MS365. Merci de contacter helpdesk@unil.ch

Edu-ID

Adapté si les utilisateurs se connectent depuis l'UNIL ainsi que des institutions hors UNIL, ou à titre privé.

Cela se repose sur la fédération AAI, gérée par Switch. Documentation: https://help.switch.ch/aai/about/

Utilise les identifiants Switch Edu-ID.

Nécessite de configurer une ressource dans le Resource Registry de Switch: https://rr.aai.switch.ch/. Les membres de l'UNIL peuvent normalement soumettre une demande directement, qui sera ensuite validée par l'un des admins AAI de l'UNIL.

Métadonnées de notre Idp: https://rr.aai.switch.ch/gen_saml2md_entity.php?homeOrg=137

Questions? Contactez aai@unil.ch

Intégration d'un service géré par des tiers

Si vous souhaitez intégrer une authentification edu-ID à un service géré par des tiers, il faut voir si cette intégration sera un "one shot" ou si cet intégrateur tiers souhaite offrir ce service à la fédération AAI entière. Si c'est une intégration unique avec l'UNIL, contactez-nous avec les métadonnées et les attributs nécessaires, et nous rajouterons le nécessaire au Resource Registry. Si le service tiers souhaite être accessible à la fédération entière, il faut devenir un Switch edu-ID Federation Partner: https://help.switch.ch/aai/join/partners/

Arbre décisionnel

Compte UNIL : Authentification multifacteur (MFA)

Consulter et configurer immédiatement de nouvelles méthodes d'authentification pour votre compte sur https://mysignins.microsoft.com/security-info 

À la première connexion de votre compte aux services de Microsoft 365, vous serez automatiquement invité à configurer une deuxième méthode d'authentification afin de renforcer la sécurité de votre compte. 

• Démarrer la configuration en appuyant sur Suivant

• Vous pouvez choisir de configurer une deuxième méthode d'authentification parmi les options suivantes :
  • Via l'application Microsoft Authenticator sur votre téléphone
  • Via code SMS sur votre téléphone
  • Via une autre application d'authentification (Google Authenticator ...)
    
  • Via l'application Ente Auth (pour les personnes sans téléphone)

Microsoft Authenticator

Ceci est la méthode recommandée par le Ci

Pour configurer l'application Microsoft Authenticator comme deuxième méthode d'authentification, il faut :

• Installer l'application Microsoft Authenticator sur votre téléphone depuis les liens pour Android et iOS ou directement avec les QRcode

• Conserver votre téléphone à proximité et revenir sur la page de configuration pour poursuivre la configuration en appuyant sur Suivant
  
  
• Appuyer une nouvelle fois sur Suivant

• Ouvrez l'application Microsoft Authenticator sur votre téléphone et appuyer sur Ajouter un compte, puis sur Compte professionnel ou scolaire et Analyser le code QR

Vous pouvez autoriser les notifications Push si l'application vous le propose.

• Scanner le QRcode affiché sur votre écran avec votre téléphone et appuyer sur Suivant

• Saisir sur votre téléphone le code à 2 chiffres affiché sur votre écran et appuyer sur Oui

• En cas de succès, appuyer sur Suivant pour terminer la configuration

Code SMS

Cette option n'est pas recommandée, car elle n'est pas très fiable en cas de problème de réseau téléphonique et peut coûter de l'argent à l'étranger. Les autres options fonctionnent sans connexion réseau et sont à privilégier.

Pour configurer les codes SMS comme deuxième méthode d'authentification, il faut :

• Appuyer sur Je veux configurer une autre méthode

• Puis sélectionner Téléphone

• Choisir l'indicatif téléphonique, saisir votre numéro de téléphone mobile, sélectionner Recevoir un code et appuyer sur Suivant

• Entrer le code reçu pas SMS sur votre téléphone et appuyer sur Suivant

• Terminer la configuration en appuyant sur Terminé

Autre application d'authentification

Faites attention de sélectionner un outil de confiance

Si vous souhaitez configurer une autre application d'authentification compatible avec TOTP (Google Authenticator, Authy, Trousseau/KeyChain Apple, BitWarden Premium/Family [payant], Aegis Authenticator [open source, android], 2FAS [open source, iOS + Android], etc.) avec votre compte, il faut :

• Appuyer sur Je souhaite utiliser une autre application d'authentification

• Ouvrir votre application d'authentification et ajouter un nouveau compte, puis appuyer sur Suivant

• Scanner le QRcode depuis votre application (ou appuyer sur Impossible de numériser l'image ? pour afficher la clé à saisir manuellement) et appuyer sur Suivant

• Saisir le code affiché dans votre application et appuyer sur Suivant pour terminer la configuration

Ente Auth (solution sans téléphone)

Solution pour toutes les personnes qui ne possèdent pas de téléphone.

Ente Auth est une solution gratuite et open source offrant la possibilité de configurer un code MFA sur votre ordinateur (Windows, macOS et Linux). Pour configurer un second facteur avec le logiciel Ente Auth, il faut :

• Télécharger le logiciel Ente Auth depuis https://ente.io/auth/ (Windows, macOS ou Linux) et l'installer sur votre ordinateur

  

• Ouvrir l'application Ente Auth et choisir l'option Utiliser sans sauvegarde (qui permet une utilisation sans compte, mais attention à avoir une sauvegarde de votre ordinateur)

  

• Appuyer sur Saisir une clé de configuration

  
  

• Revenir à la page de configuration du la deuxième méthode d'authentification de votre compte Microsoft 365 et appuyer sur Je souhaite utiliser une autre application d'authentification

• Appuyer sur Suivant

• Appuyer sur Impossible de numériser l'image et copier-coller les informations dans Ente Auth

  

• Inscrire les informations suivantes et Sauvegarder :
  • Emetteur : Microsoft 365 UNIL
  • Confidentiel : Copier et coller la valeur Clé secrète
  • Compte : Copier et coller la valeur Nom du compte

• Saisir le code affiché sur Ente Auth et appuyer sur Suivant pour terminer la configuration

edu-ID : Authentification multifacteur (MFA)

L'authentification multifacteur (ou MFA, authentification forte ou encore authentification à deux facteurs) est parfois requis pour divers services afin d'augmenter le degré de sécurité de nos applications (plus d'infos sur notre blog). En plus de votre mot de passe, il vous sera demandé soit

• un code à usage unique, généré dans une application prévue à cet usage, appelée TOTP (comme Google Authenticator),
• de valider une demande authentification sans mot de passe utilisant la technologie Passkey
• (ou reçu via SMS, mais ce dernier est déconseillé pour des raisons de fiabilité!). (à partir de 2026, le SMS ne sera plus accepté comme 2e facteur)

L'identité edu-ID inclut l'utilisation de l'authentification multifacteur, et son activation est facile. Pour lire la documentation officielle de SWITCH sur la MFA et l'edu-ID, rendez-vous ici: https://help.switch.ch/fr/eduid/docs/services/login/two-step-login/ (en anglais).

Activation

(adapté de la documentation de SWITCH)

Pour activer l’authentification en deux étapes, rendez-vous sur votre compte SWITCH edu-ID à l’adresse https://eduid.ch et cliquez sur l'onglet Sécurité et cliquez sur le bouton On à côté de Authentification multifacteur,

ou allez directement aux paramètres de l’authentification en deux étapes (https://eduid.ch/mfa/initial).

Activez ensuite l’une des méthodes d’authentification en deux étapes. Nous vous recommandons d’utiliser une application mobile d’authentification pour obtenir vos codes.

App d'authentification

Il vous saura d'abord demandé un numéro de téléphone portable au cas où vous auriez besoin de récupérer votre compte :

Ensuite, il vous faut enregistrer votre clé secrète qui servira à générer les codes :

Les applications mobiles suivantes fonctionnent entre autres : Ente Auth, Twilio Authy, FreeOTP, Google Authenticator, Microsoft Authenticator, BitWarden Authenticator, ou encore OTP Auth. (D’autres applications qui supportent le standard TOTP peuvent également être utilisées.) Plus d'informations sur iBarry.ch. L'application Ente Auth ou l'extension de navigateur 2FAS peuvent être utilisés sans téléphone mobile.

La plupart des applications d’authentification mentionnées ci-dessus fonctionnent également pour d'autres fournisseurs de services, comme Google, Facebook, etc.

De plus en plus de gestionnaires de mot de passe offrent la possibilité de gérer à la fois vos mots de passe ainsi que le 2e facteur au sein d'une seule et unique app, comme le trousseau macOS (dernière version) ou BitWarden (version premium). Cela a aussi l'avantage d'être synchronisé sur différents devices.

N'oubliez pas de bien prendre note de votre code de secours et de le sauvegarder.

Passkey

Bien que les Passkeys soient considérées comme le futur standard de l’authentification sécurisée, la technologie est encore émergente. Leur compatibilité varie : tous les systèmes d’exploitation, applications ou appareils ne les prennent pas encore en charge, et plusieurs méthodes de configuration coexistent. Il est important de noter que les Passkeys sont configurées par appareil, ce qui signifie que vous devrez généralement en créer une sur chaque ordinateur, téléphone ou navigateur que vous utilisez — sauf si vous utilisez un gestionnaire de mots de passe synchronisé comme BitWarden, qui permet d’utiliser la même Passkey sur plusieurs appareils.
Vous trouverez plus d’informations dans la FAQ de SWITCH.

Si vous rencontrez des problèmes ou des incompatibilités lors de la configuration ou de l’utilisation des Passkeys, veuillez les signaler au helpdesk.

SMS

À partir de 2026, le SMS ne sera plus configurable comme 2e facteur à l'UNIL. Il vous faut configurer une application d'authentification TOTP ou des Passkey.

La dernière option, que nous déconseillons fortement pour une raison de fiabilité et qui sera peu à peu retirée, est d'utiliser le SMS. Un code vous sera envoyé à chaque connexion nécessitant un 2e facteur.

Si vous utilisez un numéro de téléphone non suisse, sachez que certains pays ou opérateurs peuvent limiter la réception de SMS, ou vous les faire payer. Nous vous recommandant dans ce cas de passer par une application d'authentification plutôt que le SMS.

Il est possible d’activer plus d’une méthode de connexion, et de multiples Passkey.

Désactivation de la MFA

Si vous désactivez la MFA, vous risquez de ne plus avoir accès à certaines ressources ou services qui requiert un 2e facteur. Il vous faudra recommencer le processus de 0 si vous souhaitez la réactiver par la suite.

Pour désactiver l’authentification en deux étapes, retournez vers l'onglet Sécurité et cliquez sur le bouton Off à côté de l'option Authentification multifacteur (https://eduid.ch/account/security).

Vous devrez peut-être réinitialiser ou revérifier le code de vérification si vous réactivez ultérieurement une méthode particulière.

Connexion

Lorsque vous vous connecterez à une page nécessitant un deuxième facteur, après avoir entré votre adresse email, selon votre configuration MFA, vous devrez sélectionner soit d'entrer un mot de passe, soit de procéder via une Passkey :

TOTP

Si vous utilisez un mot de passe, renseignez-le

entrez ensuite le code TOTP généré dans l'app que vous aurez configurée au préalable

Questions / Problèmes

Vous trouverez réponse à plusieurs questions concernant l'authentification multifacteur sur le site officiel de SWITCH edu-ID: https://eduid.ch/help?lang=fr#two-step-login-accordion

J'ai perdu accès à mon 2e facteur, que faire?

Rendez-vous sur la page https://eduid.ch/mfa-recovery et suivez les instructions.