Activation de l'utilisation de mots de passe d'application

Les mots de passe d'application peuvent être utilisés pour fournir une connexion sécurisée aux applications qui ne prennent pas en charge l'authentification basée sur les formulaires. Ainsi, ils permettent d'accéder aux applications qui requièrent des mots de passe sur un périphérique mobile ou sont utiles aux organisations qui se servent d'une identité fédérée, dans laquelle les mots de passe de connexion au service ne sont pas utilisés. Quand vous activez les mots de passe d'application, vous pouvez aussi exiger l'utilisation de mots de passe d'application et autoriser les utilisateurs mobiles à contourner les restrictions IP.

Pourquoi et quand exécuter cette tâche

Si vous demandez un mot de passe d'application, le mot de passe de connexion de service est désactivé pour l'application et les utilisateurs doivent se connecter en se servant du mot de passe d'application. Ainsi, les utilisateurs seront invités à entrer le mot de passe d'application pour se connecter au service sur un périphérique mobile ou dans un navigateur. Toutefois, ils pourront toujours utiliser le mot de passe de connexion de service pour se connecter au site Web du service ou à d'autres applications. Si vous ne demandez pas de mot de passe d'application, les utilisateurs peuvent continuer à se connecter depuis un navigateur, par exemple, en se servant de leur mot de passe de connexion au service.
Si vous autorisez les utilisateurs mobiles à contourner les restrictions IP, les mots de passe d'application fournissent une couche supplémentaire de force de mot de passe, à cause de leur longueur (16 caractères) et parce qu'ils sont générés en utilisant un générateur de nombres aléatoires puissant. Si un périphérique mobile est perdu ou volé, vous pouvez désactiver le contournement de restriction IP, afin d'empêcher l'accès à l'application en dehors de la plage IP désignée de l'organisation.
Remarque : Si vous activez les mots de passe d'application et sélectionnez le paramètre permettant d'ignorer les restrictions liées aux plages d'adresses IP pour les applications, le paramètre ne s'applique pas aux utilisateurs de périphériques Windows Phone ou de tablettes Windows. Si vous limitez la connexion à une plage d'adresses IP spécifique, les utilisateurs de périphériques Windows Phone et de tablettes Windows doivent se connecter à partir d'emplacements réseau dans la plage définie.

Vous pouvez aussi désactiver l'utilisation des mots de passe d'application à tout moment. Dans ce cas, si les utilisateurs ont créé un mot de passe d'application, l'application n'est plus accessible car le mot de passe n'est plus en vigueur.

Conseil : Les utilisateurs peuvent aussi empêcher l'accès à l'application en révoquant leur mot de passe d'application, ce qu'ils peuvent faire à tout moment.

Les organisations qui ne se servent pas d'une identité fédérée peuvent désactiver l'utilisation du mot de passe de service standard pour applications mobiles.

Procédure

  1. Sélectionnez Administration > Gérer l'organisation.
  2. Dans le panneau de navigation, sous Paramètres système), cliquez sur Sécurité.
  3. Sous Paramètres de mot de passe, cliquez sur Modifier les paramètres.
  4. Sélectionnez Autoriser les utilisateurs à générer des mots de passe d'application.
  5. Sélectionnez l'une des options suivantes, puis cliquez sur Enregistrer les modifications.
    Tableau 1. Options de mot de passe d'application
    Option Résultat
    Expiration Sélectionnez un intervalle d'expiration de mot de passe, ou bien sélectionnez Pas d'expiration si vous ne souhaitez pas que les mots de passe d'application expirent.
    Ignorer les limitations de plage d'adresses IP pour les applications Les utilisateurs sont en mesure d'accéder aux applications en dehors de la plage d'adresses IP désignée de l'organisation. Ils ne peuvent toutefois y accéder en utilisant la connexion de service et doivent se servir d'un mot de passe d'application à la place. Pour plus d'informations sur la spécification des plages d'adresses IP, voir Exiger que les adresses IP client soient dans des plages d'adresses IP spécifiées
    Exiger l'utilisation de mots de passe d'application pour accéder à ce site Cette option limite le flux d'authentification pris en charge aux mots de passe d'application. Elle empêche les utilisateurs de se connecter à ce site en utilisant leur mot de passe de connexion de service.

    Cette option ne s'affiche pas pour les organisations qui utilisent l'identité fédérée.

Résultats

Une fois que vous avez activé cette option, les utilisateurs peuvent créer et gérer des mots de passe d'application dans Paramètres de mon compte dans le service. Vous trouverez dans cette section des informations générales sur la façon dont les utilisateurs gèrent leurs mots de passe d'application.
  • Quand cette option est activée, les utilisateurs peuvent générer un mot de passe d'application pour IBM® Traveler.
  • Les mots de passe d'application peuvent être partagés par les différents produits mobiles, dont IBM Traveler, IBM Sametime, et Connections Cloud.
  • Si vous ne sélectionnez pas l'option Exiger l'utilisation de mots de passe d'application pour accéder à ce site, l'utilisation d'un mot de passe d'application est facultatif pour les utilisateurs. Toutefois, si les limitations de plage d'adresses IP sont activées, ils ne pourront pas se connecter en utilisant leur mot de passe de connexion au service s'ils ne sont pas dans la plage IP.
  • Les mots de passe d'application sont générés par le service lorsque les utilisateurs en font la demande. Les mots de passe générés sont communiqués une seule fois à l'utilisateur par affichage et ne peuvent pas être récupérés.
  • Les utilisateurs peuvent révoquer et générer un nouveau mot de passe d'application à tout moment. Le nombre de mots de passe pouvant être générés n'est pas limité.
  • Les mots de passe sont générés à l'aide d'un générateur de nombres aléatoires à fort niveau de chiffrement. Ils se composent de 16 caractères et ne sont pas sensibles à la casse. Les utilisateurs doivent entrer le mot de passe une fois sur leur périphérique et autoriser ce dernier à enregistrer le mot de passe.
  • Au bout de dix échecs de tentative de connexion, le compte est verrouillé pendant trois minutes.

Que faire ensuite

Si vous avez sélectionné Les applications avec des mots de passe générés peuvent accéder aux ressources du site ou si vous avez autorisé les utilisateurs à contourner la plage IP spécifiée, demandez-leur de générer des mots de passe d'application. Pour plus d'informations sur la façon dont les utilisateurs génèrent les mots de passe d'application, voir Génération de mots de passe d'application pour un accès mobile.