Configurer la MFA pour les connexions SSO

Ce guide explique comment appliquer l’authentification multi-facteur (MFA) aux connexions Single Sign-On (SSO) dans UserLock. Il s’appuie sur la configuration du service SSO et montre comment combiner les stratégies d’accès avec la MFA pour renforcer la sécurité.

Publié le 26 septembre 2025

Introduction

L’authentification multi-facteur (MFA) est l’une des principales fonctionnalités de UserLock pour protéger les identités des utilisateurs. Combinée au Single Sign-On (SSO), elle ajoute une étape de vérification essentielle pour sécuriser l’accès aux applications cloud et SaaS.

🚩️ Avant de suivre ce guide, assurez-vous d’avoir terminé le guide Installer et configurer l'authentification unique (SSO). Sans un service SSO correctement configuré, la MFA ne peut pas être appliquée aux connexions SSO.

Ressources utiles

Cas d’usage typiques

  • Exiger la MFA à chaque accès à une application SaaS via SSO.

  • Imposer une MFA plus stricte uniquement pour les administrateurs et comptes à privilèges.

  • Appliquer des règles plus légères pour les connexions internes, mais plus strictes pour les accès externes.

  • Combiner la MFA avec des restrictions de temps, de machine ou de géolocalisation pour une défense en couches.

Procédure

Pour appliquer la MFA aux connexions SSO, vous devez créer une nouvelle stratégie d’accès.

👉️ Suivez les étapes générales décrites dans Configurer une stratégie d’accès jusqu’à l’étape de sélection du type de stratégie. À ce moment-là, choisissez Authentification multi-facteur.

Vous arrivez alors sur le formulaire des règles MFA.

  1. Réglez Application de la MFA sur Activé.

  2. Choisir le mode de configuration :

    • En une seule fois (mêmes paramètres pour tous les types de sessions).

    • Paramètres distincts par type de session (recommandé pour le SSO, afin de configurer la MFA séparément pour les connexions SaaS).

  3. Configurer les règles SSO

    • Pour Type de connexion, choisissez si la MFA s’applique à toutes les connexions SSO, uniquement aux connexions distantes, ou uniquement aux connexions depuis l’extérieur.

    • Pour Fréquence de MFA, sélectionnez à quelle fréquence la MFA est exigée (à chaque connexion, à la première connexion de la journée, lors d’une nouvelle adresse IP, etc.).

  4. Enregistrer les règles
    La stratégie est maintenant active et applique la MFA aux connexions SSO.

Note

Pour le détail des options Type de connexion et Fréquence MFA, voir la référence des stratégies MFA.

Bonnes pratiques et enrôlement des utilisateurs

L’application de la MFA impacte à la fois les administrateurs et les utilisateurs finaux.

Pour des recommandations de déploiement (groupes pilotes, communication, suivi) ainsi que pour les détails sur l’enrôlement des utilisateurs lorsqu’ils sont invités à le faire, consultez le guide d'implémentation de la MFA UserLock.