Noms d'utilisateur, mots de passe et répertoires
BlackBerry 2FA
authentifie les utilisateurs qui sont disponibles dans un répertoire. Les serveurs BlackBerry 2FA
et BlackBerry UEM
sont connectés à ces répertoires. En fonction de la configuration de ces connexions, BlackBerry 2FA
prend en charge quatre types d'utilisateur :- Utilisateurs dans un domaineMicrosoft Active Directoryconnecté à la fois à un serveurBlackBerry 2FAet àBlackBerry UEM
- Utilisateurs dans un domaineMicrosoft Active Directorynon connecté à un serveurBlackBerry 2FAmais connecté àBlackBerry UEM
- Utilisateurs dans un répertoire LDAP connecté àBlackBerry UEM
- Utilisateurs dans un répertoireBlackBerry UEMlocal
Lorsqu'un utilisateur se connecte, il doit fournir un nom d'utilisateur, et éventuellement un mot de passe.
Nom d'utilisateur
Le nom d'utilisateur doit correspondre à une entrée utilisateur unique dans un répertoire. Si l'utilisateur ne peut pas être résolu de manière unique, une demande d'authentification échouerait. Pour spécifier le répertoire dans lequel réside l'utilisateur, ce dernier doit être identifié conformément aux noms d'utilisateur suivants pour chaque type d'utilisateur :
- Les noms d'utilisateur suivants sont pris en charge pour les utilisateurs dans un domaineMicrosoft Active Directoryconnecté à la fois à un serveurBlackBerry 2FAet àBlackBerry UEM. Ces utilisateurs peuvent s'authentifier à l'aide de PAP, MSCHAPv1, MSCHAPv2 et EAP-MSCHAPv2, et peuvent être configurés pour utiliser des groupes d'autorisations pour chaque client d'API REST,ainsi que des groupes de remplacements d'authentification pour chaque passerelle VPN.<nom d'utilisateur> (par exemple, jsmith)<nom d'utilisateur>@<nom de domaine NetBIOS> (par exemple, jsmith@company)<nom de domaine NetBIOS>\<nom d'utilisateur> (par exemple, company\jsmith)<adresse électronique> (par exemple, jsmith@company.com)
- Les noms d'utilisateur suivants sont pris en charge pour les utilisateurs dans un domaineMicrosoft Active Directoryqui n'est pas connecté à un serveurBlackBerry 2FA, mais connecté àBlackBerry UEM. Ces utilisateurs peuvent s'authentifier uniquement à l'aide de PAP.<nom d'utilisateur> (par exemple, jsmith)<nom d'utilisateur>@<nom de domaine NetBIOS> (par exemple, jsmith@company)<nom de domaine NetBIOS>\<nom d'utilisateur> (par exemple, company\jsmith)<adresse électronique> (par exemple, jsmith@company.com)
- Les noms d'utilisateur suivants sont pris en charge pour les utilisateurs dans un répertoire LDAP connecté àBlackBerry UEM. Ces utilisateurs doivent s'authentifier avec PAP.Le serveurBlackBerry 2FAne peut pas se connecter à ce répertoire.<nom d'utilisateur> (par exemple, jsmith)<nom d'utilisateur>@<répertoire FQDN> (par exemple, jsmith@company.ldap.net)<répertoire FQDN>\<nom d'utilisateur> (par exemple, company.ldap.net\jsmith)<adresse électronique> (par exemple, jsmith@company.com)
- Les noms d'utilisateur suivants sont pris en charge pour les utilisateurs dans un répertoireBlackBerry UEMlocal. Ces utilisateurs doivent s'authentifier avec PAP.Le serveurBlackBerry 2FAne peut pas se connecter à ce répertoire.<nom d'utilisateur> (par exemple, jsmith)<nom d'utilisateur>@local (par exemple, jsmith@local)local\<nom d'utilisateur> (par exemple, local\jsmith)<adresse électronique> (par exemple, jsmith@company.com)
Mot de passe
Lorsqu'un utilisateur se connecte, il doit fournir un mot de passe de répertoire en fonction de l'option d'authentification que sa configuration lui impose d'utiliser.
Si un utilisateur s'authentifie à l'aide d'un jeton de mot de passe à usage unique (OTP), il doit fournir le jeton OTP et son mot de passe de répertoire, quelle que soit l'option d'authentification à deux facteurs que sa configuration lui impose d'utiliser.
- Pour se connecter à un réseau VPN, l'utilisateur doit saisir le jeton OTP et le mot de passe de répertoire dans le champ de mot de passe. Le jeton OTP est saisi en premier, suivi par le mot de passe de répertoire, et aucun espace ou séparateur ne peut être ajouté.
- Lors d'une connexion à partir d'un client connecté à une API REST, l'utilisateur doit saisir le mot de passe de répertoire dans le champ de mot de passe, puis saisir le jeton OTP dans un champ dédié.