[OKEY] Gestion des clefs de sécurité

• Processus d'assistance
• Présentation générale de l’application
• Authentification forte - clef OTP
• Effectuer une demande de clef OTP à l'aide de l'application OKEY
• Installation d'une clé OTP logicielle (sur smartphone)
• Validation d'une demande d'attribution ou de renouvellement de clef OTP
• Effectuer une demande de renouvellement de clef OTP à l'aide de l'application OKEY
• Distribuer une clé (en circonscription ou en EPLE)
• Perte de CODE PIN
• Clef OTP désynchronisée
• Perte ou changement de mobile
• FAQ : Clef OTP 2D
• Flyer / Rectorat

Processus d'assistance

Pour toute demande d'assistance ou de signalement d'anomalie sur OKEY.

 Veuillez faire un dossier Fil@os  / Rechercher OKEY dans la description

Si vous ne pouvez pas faire de  dossier Fil@os veuillez , contacter votre assistance informatique de proximité.

Présentation générale de l’application

Authentification forte - clef OTP

Introduction

Qu'est-ce qu'une clef OTP ?

Une clef OTP (One Time Password), aussi appelée Token, est un dispositif délivrant un mot de passe unique. Cet outil d'authentification forte garantit un niveau de sécurité très élevé qui est nécessaire pour certaines applications ou pour utiliser une liaison VPN entre un site distant et le rectorat (indispensable au télétravail).

La clef OTP peut être matérielle ou logicielle (pour téléphone mobile Android ou iOS).

Qu'est-ce qu'une authentification forte ?

Le principe de l'authentification forte est d'utiliser plusieurs éléments distincts pour authentifier une personne. En effet, la sophistication des techniques de vol de données est telle qu'un mot de passe ne peut plus à lui seul garantir la sécurité.

L'authentification forte réside dans l'association de trois éléments totalement indissociables  :

• Le nom d'utilisateur
• Le code personnel (ou code PIN) défini par l'utilisateur et connu de lui seul
  
• Le code de la clef OTP en vigueur au moment de la connexion

Ce code OTP a une durée de vie limitée (une minute) et ne peut être utilisé qu'une seule fois.

Une fois connecté à l'aide de la clef OTP, l'utilisateur accède à la ressource autant de temps que nécessaire, jusqu'à ce qu'il clique sur "déconnexion".

Utilisation de la clef OTP

Lorsque votre clef vous aura été remise et que vous l’aurez initialisée (choix du code PIN personnel), vous pourrez l’utiliser comme mot de passe en procédant comme ceci :

Bonnes pratiques

Évitez les codes PIN ayant des liens évidents avec vous ou votre environnement, comme par exemple votre date de naissance ou code postal ;

Votre code PIN doit être mémorisé et gardé secret, ne l’écrivez pas sur la clef, ne le communiquez à personne, y compris à la DSI ;

Demandez la réinitialisation du code PIN à la plateforme d’assistance en cas de doute sur sa confidentialité ;

Un code PIN peut contenir des caractères alphanumériques et doit être compris entre 4 et 6 caractères ;

En cas d’erreur d’authentification, attendez le code suivant pour éviter de bloquer votre clef ;

Gardez votre clef sur vous ou dans un lieu sûr, l’anneau permet de l’accrocher sur votre trousseau de clefs par exemple.

La clef OTP est un dispositif personnel. Elle engage la responsabilité de son utilisateur. Par conséquent, elle ne doit pas être prêtée et sa perte doit être immédiatement signalée.

Effectuer une demande de clef OTP à l'aide de l'application OKEY

Pour avoir une clef OTP, il faut d'abord effectuer une demande avec l'application OKEY. Pour cela, connectez-vous à métice et cliquez sur l’icône de l’application OKEY ( catégorie outils )

Une clef OTP, vous permettra de vous connecter sur des applications protégées par une authentification forte depuis Internet. 
Dans certains cas, par exemple pour le télétravail, une clef OTP vous permettra de vous connecter en VPN.

Qui peut se connecter à OKEY ?

• Personnels du Rectorat
  ACA-rectorat
  
  
• Personnels de direction 2D 
  ETAB-direction
• Personnels enseignants 2D 
  ETAB-enseignants2D-prive  ETAB-enseignants2D-public
  
• Personnels administratifs en EPLE 
  ACA-PersEtab
  
  
• Personnels de direction et enseignant 1D 
  ETAB-directeurs1D-prive ETAB-directeurs1D-public  ETAB-enseignants1D-public  ETAB-enseignants1D-prive
• Futurs Personnels de direction 1D ou faisant fonction
  MISS-REF_1d_FutursDirecteurs MISS-REF_1d_FaisantFonctionDirecteurs
  

Cliquez sur « FAIRE UNE DEMANDE »

Sélectionnez le type de clef (option possible uniquement pour le personnel du 1D et Rectorat)

OU

Renseignez le motif de votre demande et joignez les pièces nécessaires à sa validation

Si les justificatifs n’ont pas été ajoutés lors de votre saisie initiale, votre demande ne sera pas envoyée à la personne chargée de la valider.

(Vous pourrez les ajouter ultérieurement en relançant l’application [OKEY] ou annuler votre demande)

[1 degré] Pour les personnels du 1er degré sur un poste (définitif) de direction ou ayant une délégation à ONDE (faisant fonction de direction) la validation est automatique

[2 degré] Pour les personnels du 2nd degré, pour le moment seul le motif 'Applications' est disponible 

Vérifiez que la personne chargée de valider votre demande est correctement renseignée et validez votre demande.

Une fois la demande soumise, elle sera en attente de validation de votre responsable :

Dans le cas où la personne en charge de la validation de votre demande est absente, votre N+2 dispose également de la possibilité de l'approuver.

Une fois la demande validée par votre responsable hiérarchique la procédure diffère légèrement selon le choix du type de clef (logicielle ou matérielle).

---

Étape clef logicielle uniquement Si vous avez choisi une clef « logicielle » il faudra cliquer sur le type de mobile (Android ou IOS – IPhone) et suivre la procédure décrite dans LaDocLéLa pour installer l'application sur votre mobile :

Seuls les personnels du premier degré et du Rectorat peuvent disposer d'une clef OTP logicielle. La procédure d'assistance n'est pas encore définie pour les personnels du second degré.

L’écran demandant l’installation du logiciel persistera sur l’application [OKEY] tant que vous n’aurez pas envoyé les éléments demandés à « okey@ac-reunion.fr ».

L’étape suivante vous invite à signer une charte :

Pour cette action, il suffit de reporter le numéro du bas de la charte dans la boite de dialogue prévue à cet effet et valider (n’oubliez pas de cocher la case « J’ai pris connaissance de la charte ») :

Si vous êtes sur un périphérique mobile, veuillez d'abord télécharger la charte , la consulter, et reporter le code a quatre chiffres sur OKEY.

Définissez un code PIN à votre clef (4 à 6 chiffres) :

Vous n’avez plus qu’à attendre que la DSI finalise les opérations :

---

Étape clef Physique uniquement Lorsque tout sera prêt, vous pourrez prendre rendez-vous au travers de l’application [OKEY] pour venir retirer votre clef à l'endroit qui vous aura été indiqué.

Installation d'une clé OTP logicielle (sur smartphone)

1/ Installez sur votre smartphone l’application RSA Authenticator (SecurID)

 

• ANDROID : https://play.google.com/store/apps/details?id=com.rsa.securidapp&hl=fr 
• IOS : https://apps.apple.com/fr/app/rsa-authenticator-securid/id318038618 

Veuillez acceptez le contrat de licence, le cas échéant, lors de l'installation de l'application.

Attention, les captures ci-dessous peuvent changer en fonction des mises à jour des applications.  

2/ Ouvrez l’application RSA Authenticator

Cliquez sur plus ( en bas a droite ) , vous avez cette fenêtre qui s'affiche

Cliquez sur A propos de

Cliquez sur icône 'partager'     , votre messagerie va s'ouvrir

Envoyer le mail à :  okey@ac-reunion.fr

Ne modifiez pas le contenu du message

Indiquez 'OKEY' comme sujet de mail

Une fois le mail envoyé, veuillez vérifier votre messagerie car vous allez recevoir les consignes par mail.
ATTENTION : Vérifier que le mail envoyé par OKEY ne soit pas dans vos SPAMS.

3/ Une fois la manipulation faite par le Rectorat, scannez le QrCode qui sera affiché sur l'application OKEY.
Un mot de passe vous sera demandé, il s'agit de votre identifiant de connexion académique.

Un message , importation réussie ou succès sera affiché.

Votre clef est opérationnelle et votre passcode sera composé de Code Pin + 6 chiffres proposés par votre token au moment de votre connexion.

Validation d'une demande d'attribution ou de renouvellement de clef OTP

Introduction

Cette partie, ne vous concerne que si vous êtes en situation de responsabilité hierachique.

En tant que responsable hiérarchique, vous allez être sollicité par les agents dont vous avez la charge afin de valider les demandes de clefs OTP. (Nouvelle demande ou renouvellement)

Ces demandes seront accessibles via le portail métice au travers d’une nouvelle application nommée [OKEY].

Valider une demande

Connectez-vous à métice et cliquez sur l’icône de l’application [OKEY]

Une page résumant toutes les demandes en cours s’affiche, il vous faudra les valider pour que le processus se poursuive.

Tant qu’une demande ne sera pas validée, elle ne sera pas traitée par la DSI. 

L’agent sera notifié (via l’application [OKEY] et par mail) lors de la validation ou du refus de sa demande.

Suivre une demande

Vous pourrez également suivre les demandes en cours depuis la page principale de l’application [OKEY] :

Effectuer une demande de renouvellement de clef OTP à l'aide de l'application OKEY

Effectuer une demande de renouvellement de clef OTP à l'aide de l'application OKEY

Connectez-vous à métice et cliquez sur l’icône de l’application OKEY (catégorie outils )

Cliquez sur « RENOUVELLER MA CLEF »

Sélectionnez le type de clef

ou

Renseignez le motif de votre demande et joignez les pièces nécessaires à sa validation

Si les justificatifs n’ont pas été ajoutés lors de votre saisie initiale, votre demande ne sera pas envoyée à la personne chargée de la valider.

(Vous pourrez les ajouter ultérieurement en relançant l’application [OKEY] ou annuler votre demande)

Pour les personnels du 1er degré sur un poste (définitif) de direction ou ayant une délégation à ONDE (faisant fonction de direction) la validation est automatique

Vérifiez que la personne chargée de valider votre demande est correctement renseignée et validez votre demande.

Une fois la demande soumise, elle sera en attente de validation de votre responsable

Dans le cas où la personne en charge de la validation de votre demande est absente, votre N+2 dispose également de la possibilité de l'approuver.

Une fois la demande validée par votre responsable hiérarchique la procédure diffère légèrement selon le choix du type de clef (logicielle ou matérielle).

**Étape clef logicielle uniquement** Si vous avez choisi une clef « logicielle » il faudra cliquer sur le type de mobile (Android ou IOS – IPhone) et suivre la procédure décrite dans LaDocLéLa pour installer l'application sur votre mobile :

L’écran demandant l’installation du logiciel persistera sur l’application [OKEY] tant que vous n’aurez pas envoyé les éléments demandés à « okey@ac-reunion.fr ».

L'étape suivante vous invite à signer une charte :

Pour cette action, il suffit de reporter le numéro du bas de la charte dans la boite de dialogue prévue à cet effet et valider (n’oubliez pas de cocher la case « J’ai pris connaissance de la charte ») :

Vous n’avez plus qu’à attendre que la DSI finalise les opérations :

**Étape clef Physique uniquement**Lorsque tout sera prêt, vous pourrez prendre rendez-vous au travers de l’application [OKEY] pour venir retirer votre clef à l'endroit qui vous aura été indiqué.

Le code PIN de votre nouvelle clef sera identique à celui de la précédente.

Distribuer une clé (en circonscription ou en EPLE)

Prérequis:
- [1 degré] La demande a déjà été faite par un directeur (disposant soit d'une fonction de directeur, soit d'une délégation à ONDE) et la demande est à l'étape "Distribuer" (la charte a été signée, le code pin a été défini)
- [2 degré] La demande a déjà été faite par un personnel de l''établissement, validé par le Chef d'établissement ou une personne ayant une délégation sur l'application OKEY   et la demande est à l'étape "Distribuer" (la charte a été signée, le code pin a été défini)

L'utilisateur voit dans son interface OKEY le numéro de la clé et la circonscription ou il/elle doit aller le chercher

Actions à faire en circonscription / EPLE : 

Se connecter à Okey 

Identifier le numéro de clé et le nom du directeur auquel elle est associée

Cliquer sur le bouton "Distribuer la clef"

On vous demande de rajouter un commentaire (obligatoire) (par exemple donné en main propre ou récupérée par ...). Pour finaliser cliquer sur le bouton "Distribuer la clef"

La procédure est finie quand dans le tableau avec la liste des clés elle apparait avec l'action/remarque "Gérer la clef"

Perte de CODE PIN

Dans le cas où, vous avez oubliez le code pin de votre clef OTP, il est possible grâce à OKEY de le ré-initialiser. Il n'est pas nécessaire de solliciter le support technique pour la ré-initialisation, vous pouvez le faire en toute autonomie.
Ci-dessous la procédure pour vous permettre de réaliser cette manipulation

1/ Connectez-vous à métice et cliquez sur l’icône de l’application OKEY (catégorie outils )

2/ Cliquez sur « REINITIALISER »

3/ Saisissez votre code PIN dans les champs prévus à cet effet et validez

4/ Un mail vous informera quand le changement de code PIN sera effectif

Clef OTP désynchronisée

Si votre clef OTP est dans un état désynchronisé.

voici le mode opératoire :

1. fermer votre navigateur puis ouvrez le de nouveau
2. allez à l'adresse suivante : https://portail.ac-reunion.fr
3. cliquer sur le bouton : Je m'authentifie avec mon OTP académique
4. tapez votre passe code (code pin + les 6 chiffres de votre clé matériel ou logiciel) et validez
5. à l'étape suivante attendez que les 6 chiffres de votre clé changent et tapez les puis validez (il s'agit du token code c'est à dire les 6 chiffres de la clé uniquement)

Si la synchronisation s'est bien passée, vous devriez avoir le menu du portail à ce moment.

Si les difficultés persistent malgré tout , alors une demande d'assistance est nécessaire au travers d'un ticket Fil@os

Perte ou changement de mobile

Effectuer une demande de clef OTP pour cause de perte ou changement de mobile à l'aide de l'application OKEY

1/ Connectez-vous à métice et cliquez sur l’icône de l’application OKEY (catégorie outils )

2/ Cliquez sur « CHANGEMENT DE TELEPHONE »

3/ Sélectionner le type d'OS de votre nouvel appareil

4/ Consultez la charte pour prendre connaissance des éventuelles nouvelles mesures.

5/ Cliquez sur le bouton 'VALIDER' équivaut à signer la charte et vous engage envers celle-ci.

Veuillez vérifier votre messagerie car vous allez recevoir les consignes par mail.

6/ Installez sur votre smartphone l’application SecureID

 Software Token (depuis le store, acceptez contrat de licence)

7/ Ouvrez l’application RSA Secure ID Software

8/ Scannez le QrCode qui sera affiché sur l'application OKEY.

9/ Si vous changez de mobile, pensez à supprimer la clef existante sur votre ancien mobile en cliquant sur l'icône "..." puis 'supprimer '.

FAQ : Clef OTP 2D

Depuis le 14/12/2023, la console RC n'est plus disponible pour gérer l'attribution des clefs OTP au sein d'un établissement du second degré.

Pour cela il y a l'application OKEY, qui va permettre de pouvoir mettre à disposition une clef OTP pour un personnel du second degré.

Ce n'est plus le chef d'établissement qui choisi une clef et l'attribue à un personnel. Dans OKEY la démarche est inversée, c'est a celui qui a besoin d'une clef OTP d'en faire la demande dans OKEY en précisant son besoin. En faisant ainsi cela permet de responsabiliser le demandeur en lui demandant de signer une charte et de définir son code PIN.

Le support de la classe virtuelle OKEY   du 09/04/2024  se trouve   sur ce lien

Quel rôle pour le Chef d'établissement ?

Le chef d'établissement doit valider ou refuser les demandes de clefs de son personnel.

A chaque besoin de validation le chef d'établissement reçoit un mail pour l'inviter à se rendre sur OKEY pour apprécier la demande. Il peut également se rendre directement sur OKEY et vérifier les demandes en attentes depuis l'écran d'accueil de OKEY 

Que faire si l'établissement n'a plus de clef ?

Lorsqu'un personnel fait une demande de clef et qu'il n'y a plus de clef disponible en établissement, le chef d'établissement et le demandeur reçoivent un mail pour indiquer qu'il n'y a plus de clef. Que faire dans ce cas ?

Le chef d'établissement : Passer une nouvelle commande depuis OKEY

Le demandeur : Lorsqu'une clef sera de nouveau disponible il recevra un mail pour poursuivre sa démarche 

Dans le cas où vous auriez toujours des clefs disponibles dans votre établissement et que celles ci n'apparaissent pas dans OKEY. Veuillez faire un ticket Fil@os dans le produit 'Commande de clés OTP' en indiquant les numéros de série des clefs sui sont toujours en votre possession. Ceci permettra à l'équipe d'assistance de les rendre disponible dans oKEY.

Que faire si un personnel à perdu une clef OTP ?

Le chef d'établissement se rend sur OKEY, 

1/ clique sur 'gérer les clefs'

2/ Dans le tableau qui s'affiche, repère la clef et clique sur 'gérer la clef'

3/ Il choisi le motif 'clef perdue', met un commentaire et valide 

Cette action de déclarer une clef perdue aura pour effet de

• Désallouer la clef
• Permettre à la personne de faire une nouvelle demande de clef

Que faire si un personnel vient rendre une clef ?

La procédure est la même que celle précédemment,  sauf que le motif il faut choisir 'mettre en stock'  

Que faire si un personnel à perdu son code PIN ?

Veuillez suivre la procédure en suivante : Changer son code PIN

Que faire si un personnel n'arrive plus à utiliser sa clef ?

Cela n'est pas encore géré dans OKEY. Une demande d'assistance est nécessaire au travers d'un ticket Fil@os

Clef logicielle ?

La procédure de mise à disposition de clef logicielle n'est pour le moment pas définie pour les personnels du second degré. Il n'est donc pas possible pour le personnel du second degré de disposer d'une clef OTP logicielle

Que faire si une clef est désynchronisée ?

Veuillez suivre la procédure en suivante : Clef désynchronisée

Résumé de la procédure d'attribution d'une clef.

1/ Dans un premier temps, la personne qui souhaite disposer d'une clef OTP (demandeur) se rend sur l'application OKEY pour faire une demande de clef. Plus de détails en suivant ce lien 

2/ Le chef de l'établissement ou adjoint reçoit alors une demande de validation. Ce dernier se rend alors sur l'application OKEY, afin de valider (ou pas) la demande. Plus de détails en suivant ce lien 

3/ Le demandeur suit la procédure sur OKEY, notamment en signant la charte et en définissant son code PIN

4/ Lorsque la clef lui sera attribuée, un mail lui sera envoyé pour indiquer qu'il peut venir récupérer sa clef auprès du chef d'établissement

5/ La chef d'établissement lui remet sa clef en indiquant sur OKEY que la clef a été remise. Plus de détails en suivant ce lien

Flyer / Rectorat

Ce flyer décrit, le processus d'obtention d'une clef OTP si vous êtes un personnel du Rectorat.

Pour résumer :

• Faites une demande sur l'application OKEY
• La demande doit être validée par votre supérieur hiérarchique
• Signez la charte et définissez votre code PIN
• Prenez rendez-vous pour récupérer votre clef, s'il s'agit d'un clef matérielle

---