Stratégies d'authentification

Une stratégie d'authentification est un ensemble de règles qui sont appliquées au processus d'authentification et à la vérification des données d'authentification par HCL Commerce. HCL Commerce prend en charge les stratégies de compte et d'autres stratégies relatives à l'authentification, comme indiqué dans les sous-sections suivantes.

Versions prior to 9.1.2.0 onlyStratégies de compte HCL Commerce Version 9.1.2.0 or laterStratégies de sécurité

Une stratégie de compte définit les stratégies liées au compte, telles que celles relatives au mot de passe et au blocage du compte. Pour plus d'informations sur la création de stratégies de compte, voir Définition d'une stratégie de compte.

Stratégie de blocage de compte
Une stratégie de blocage de compte verrouille ou désactive un compte utilisateur en cas d'action malveillante menée à l'encontre de ce compte. Cela permet de réduire les risques pour le compte. Une stratégie de blocage de compte met en oeuvre les valeurs suivantes :
  • Le seuil de blocage du compte. Il s'agit du nombre de tentatives de connexion incorrectes avant que le compte ne soit désactivé. Si vous définissez un nombre trop bas, vous risquez de bloquer des utilisateurs légitimes qui se sont trompé lors de la saisie de leur mot de passe ou qui ne se souviennent plus de leur mot de passe, ce qui aurait éventuellement pour conséquence d'alourdir la charge de travail de votre équipe de représentants du service clientèle si un agresseur informatique essayait de débloquer plusieurs comptes. Si vous définissez un nombre trop élevé, vous évitez les risques décrits précédemment, mais cela aura pour conséquence de rendre votre site vulnérable en cas d'attaque brutale visant à deviner les mots de passe. Choisissez un seuil adapté à vos exigences en matière de sécurité.
  • Le délai entre tentatives de connexion consécutives. Cette valeur représente le laps de temps durant lequel l'utilisateur n'est pas autorisé à se connecter, après deux tentatives de connexion incorrectes. Le délai est incrémenté par la valeur du délai configurée (par exemple, 10 secondes) pour tout échec de connexion consécutif.

Pour plus d'informations sur la création de stratégies de blocage de compte, voir Définition d'une stratégie de blocage de compte.

Remarque :
  • Le verrouillage de compte ne fonctionne pas avec LDAP activé.
  • HCL Commerce Version 9.1.6.0 or laterUne fois le seuil de verrouillage du compte atteint, le compte utilisateur est verrouillé. Les utilisateurs du site peuvent réinitialiser leur mot de passe et déverrouiller le compte à l'aide du flux de fonctionnalité Mot de passe oublié. Avant la version 9.1.6.0, le compte utilisateur était désactivé et ne pouvait pas être réactivé par l'utilisateur du site.
Stratégie de mot de passe
Une stratégie de mot de passe définit des caractéristiques auxquelles les mots de passe des utilisateurs doivent se conformer. Une stratégie de mot de passe définit les conditions suivantes :
  • Si l'ID utilisateur et le mot de passe peuvent correspondre ou non.
  • Un nombre maximal d'occurrences de caractères consécutifs.
  • Un nombre maximal d'instances de chaque caractère.
  • Une durée de vie limitée des mots de passe.
  • Un nombre minimal de caractères alphabétiques.
  • Un nombre minimal de caractères numériques.
  • Une longueur minimale du mot de passe.
  • Nombre de mots de passe précédents à vérifier lorsque l'utilisateur choisit un nouveau mot de passe.

Pour plus d'informations sur la création de stratégies de mot de passe, voir Définition d'une stratégie de mot de passe.

HCL Commerce fournit deux stratégies de compte par défaut : Administrateurs et Clients. Pour plus d'informations sur ces stratégies, voir Stratégie de sécurité de compte par défaut.

Autres stratégies relatives à l'authentification

Les sections suivantes décrivent les autres stratégies relatives à l'authentification disponibles avec HCL Commerce :

Invalidation du mot de passe
Une fois activée, l'invalidation du mot de passe demande aux utilisateurs de HCL Commerce de changer leur mot de passe si celui-ci a expiré. Dans ce cas, l'utilisateur est redirigé vers la page de modification de mot de passe. Les utilisateurs ne peuvent accéder à aucune page sécurisée du site tant qu'ils n'ont pas changé leur mot de passe.

Pour plus d'informations sur l'activation de l'invalidation du mot de passe, voir Activation de l'invalidation du mot de passe.

Instructions protégées par mot de passe
Lorsque la fonction Instructions protégées par mot de passe est activée, HCL Commerce demande aux utilisateurs enregistrés connectés à HCL Commerce d'entrer leur mot de passe. Les utilisateurs enregistrés doivent entrer leur mot de passe avant de poursuivre une demande qui utilise des instructions précises de HCL Commerce.

Attention Lorsque vous configurez les instructions protégées par mot de passe, certaines instructions figurant dans la liste de sélection des instructions peuvent être exécutées par des utilisateurs génériques ou des visiteurs. La protection de ces instructions par mot de passe empêche les utilisateurs génériques et les visiteurs de les exécuter.

Pour plus d'informations sur l'activation de la fonction Instructions protégées par mot de passe, voir Activation des instructions protégées par mot de passe.

Vues du délai d'expiration de la connexion
La stratégie de délai d'expiration de la connexion permet à HCL Commerce de déconnecter un utilisateur qui est inactif pendant un certain temps. HCL Commerce demande ensuite la reconnexion de l'utilisateur au système à l'aide du noeud Délai d'expiration de la connexion.