Référence des fonctionnalités IAM 1.5

Le 18 septembre 2023 sur eu-west-2, une nouvelle version de IAM est sortie. Cette page résume toutes les nouvelles fonctionnalités et mises à jour.

Nouvelle authentification multifacteur pour Cockpit v2

Deux nouvelles méthodes d’authentification multifacteur (MFA) ont été ajoutées à Cockpit v2 :

Une clé de sécurité ou des données biométriques avec Webauthn. Pour en savoir plus, voir Mettre en place une MFA pour votre compte avec WebAuthn ou un OTP > WebAuthn.
Un mot de passe à usage unique (one-time password, ou OTP) via une application d’authentification. Pour en savoir plus, voir Mettre en place une MFA pour votre compte avec WebAuthn ou un OTP > Mot de passe à usage unique.

WebAuthn est un standard web se basant sur la cryptographie à clé publique, qui permet de s’authentifier à des applications web à l’aide d’une clé de sécurité (via USB, comme une YubiKey, ou intégrée à un smartphone ou tablette) ou à l’aide de l’authentification biométrique de votre ordinateur ou smartphone.
Un OTP est une courte séquence de chiffres autogénérés fournie par une application. Cette séquence n’est disponible que pendant une courte période, rendant ainsi plus difficile toute utilisation malveillante.

Pour en savoir plus, voir À propos de l’authentification.

Trusted Env et session de confiance

La fonctionnalité Trusted Env actuelle a été mise à jour. Cela peut impacter votre authentification sur Cockpit v2.

Quand le paramètre RequireTrustedEnv de la méthode UpdateApiAccessPolicy est activé, il est maintenant impératif que tous les utilisateurs EIM du compte racine se connectent à Cockpit v2 avec une authentification multifacteur (MFA). Plus précisément, il est requis qu’ils mettent en place la méthode d’authentification WebAuthn. Ils peuvent ensuite s’authentifier avec soit la méthode WebAuthn, soit la méthode OTP. Pour en savoir plus, voir Mettre en place une MFA pour votre compte avec WebAuthn ou un OTP

Pour rappel, activer Trusted Env vous permet d’activer une session de confiance. Les sessions de confiance offrent une couche supplémentaire de sécurité à un compte racine et tous ses utilisateurs. Pour en savoir plus sur les sessions de confiance, voir À propos de votre politique d’accès API > Session de confiance.

Pour activer une session de confiance, un utilisateur racine doit remplir les conditions suivantes :

Toutes leurs access keys doivent avoir une date d’expiration.
Toutes leurs API access rules doivent spécifier un CA.

En raison de la nouvelle fonctionnalité MFA, la méthode MFA basée sur les certificats x509 sera dépréciée fin 2023. À cette date, tous les certificats x509 dans vos API access rules seront obsolètes et supprimés.

Réinitialisation du mot de passe

En raison de la nouvelle version d’IAM, vous ne pouvez désormais plus réinitialiser votre mot de passe avec les méthodes API SendResetPasswordEmail et ResetAccountPassword.

Vous ne pouvez désormais réinitialiser votre mot de passe que via le bouton de réinitilisation de mot de passe sur Cockpit v2. Pour en savoir plus, voir Modifier vos informations personnelles et votre mot de passe.

Authentification des utilisateurs EIM

Il est maintenant possible pour les utilisateurs Elastic Identity Management (EIM) de créer leur propre mot de passe, qu’il peuvent ensuite utiliser pour se connecter à Cockpit v2. Pour en savoir plus, voir Créer un mot de passe en tant qu’utilisateur EIM.

Les utilisateurs EIM n’ont pas d’adresse e-mail propre, ainsi si un utilisateur EIM a besoin de réinitialiser son mot de passe, l’e-mail de réinitialisation sera envoyé à l’adresse e-mail du compte racine.

Pages connexes

Méthode API correspondante

UpdateAccessKeyPolicy (API OUTSCALE)