Sécurité de réinitialisation des mots de passe de coffres d'ID
L'un des avantages du coffre est sa capacité à réinitialiser facilement les mots de passe des ID lorsque les utilisateurs les oublient. Il existe deux modèles disponibles pour la réinitialisation de mot de passe : le personnel autorisé peut utiliser Domino® Administrator pour réinitialiser les mots de passe des utilisateurs, ou les utilisateurs ou le personnel autorisé peuvent réinitialiser les mots de passe à l'aide d'une application personnalisée. Vous pouvez mettre en oeuvre l'un des modèles ou les deux modèles.
Il existe deux considérations de sécurité pour chacun des modèles : il s'agit de l'accréditation de la personne ou de l'application qui réinitialise les mots de passe et de l'accréditation de l'identité des utilisateurs dont les mots de passe sont réinitialisés. L'accréditation de l'autorité de la personne ou de l'application pour réinitialiser les mots de passe est établie par le biais de certifications croisées spéciales appelées certificats de réinitialisation des mots de passe. Vous pouvez utiliser l'outil ou pour générer des certificats de réinitialisation de mots de passe à partir des certificateurs parent des ID utilisateur stockés dans un coffre. Les certificats sont créés dans la vue de l'annuaire Domino®. L'accréditation de l'identité d'un utilisateur dont le mot de passe est réinitialisé doit être établie par la personne ou l'application qui réinitialise le mot de passe.
Autorité de réinitialisation de mot de passe pour les personnes qui réinitialisent des mots de passe à l'aide de Domino® Administrator
Les personnes qui se connectent à Domino® Administrator sous une identité avec une autorité de réinitialisation de mot de passe peuvent réinitialiser les mots de passe utilisateur en utilisant l'outil Réinitialiser le mot de passe. Pour accorder une autorité de réinitialisation de mot de passe à ces personnes, un administrateur Domino® créé des certificats de réinitialisation de mot de passe pour des personnes ou des subordonnés. Vous ne pouvez pas créer un certificat de réinitialisation de mot de passe pour un groupe dans un annuaire, mais vous pouvez sélectionner un groupe afin de créer facilement un certificat de réinitialisation de mot de passe individuel pour chaque membre actuel.
Les personnes qui réinitialisent des mots de passe à l'aide de Domino® Administrator ont deux possibilités pour transmettre les nouveaux mots de passe aux utilisateurs. Elles peuvent récupérer le nouveau mot de passe ou générer un mot de passe aléatoire, puis avertir eux-mêmes l'utilisateur de l'existence de ce mot de passe. Il est important qu'elles emploient une méthode de confirmation de l'identité de l'utilisateur. Elles peuvent également générer un nouveau mot de passe aléatoire et l'envoyer par courrier électronique chiffré à quelqu'un, par exemple à un gestionnaire des utilisateurs.
Vous devez accorder une autorité de réinitialisation de mot de passe aux ID spécifiquement enregistrés et utilisés pour la réinitialisation des mots de passe.
Autorité de réinitialisation de mot de passe accordée à des applications
Les développeurs peuvent utiliser la méthode ResetUserPassword disponible dans C, Java™, JavaScript™ ou LotusScript® pour développer une application personnalisée pour la réinitialisation des mots de passe. Il peut s'agir d'une application en self-service permettant aux utilisateurs de réinitialiser leur propre mot de passe ou d'une application aidant le personnel du service d'assistance à réinitialiser les mots de passe des utilisateurs.
Si la méthode ResetUserPassword est utilisée dans un agent LotusScript® ou Java™, vous devez accorder l'autorité de réinitialisation de mot de passe avec l'indicateur Autorité de réinitialisation de mot de passe en self-service à une identité de l'utilisateur qui a signé l'agent, de préférence une identité enregistrée spécifiquement à cet effet. Le serveur sur lequel vous déployez l'agent doit également disposer de cette autorité et doit fournir un accès Exécuter les agents LotusScript/Java restrictifs.
Si la méthode ResetUserPassword est utilisée dans une application autre qu'un agent, accordez l'autorité de réinitialisation de mot de passe avec l'indicateur Autorité de réinitialisation de mot de passe en self-service à l'identité de l'utilisateur ou du serveur sous laquelle l'application est autorisée à s'exécuter.
L'application est chargée de vérifier l'identité des utilisateurs qui l'utilisent. Cette vérification pourrait être faite en utilisant un nom d'utilisateur et un mot de passe HTTP de serveur Web Domino®. L'application peut également gérer elle-même l'authentification, par exemple, en utilisant l'authentification du serveur d'annuaires LDAP ou en posant des questions personnelles aux utilisateurs.
Domino® est fourni avec un exemple d'application en self-service qui utilise la méthode ResetUserPassword dans un agent LotusScript® que vous pouvez personnaliser par rapport à votre environnement.