Sommaire :
- Configuration du plugin Two Factor Authentication
- Activation de la double authentification par les utilisateurs
- Utiliser la double authentification Ă lâaide dâune application dâauthentification
- Utiliser la double authentification par email
- Connexion aux applications tierces lorsque la 2FA est activée
- CrĂ©ation dâune clĂ© API dans votre profil
- Connexion à une application tierce avec votre clé API
Depuis la version 16 de Piwigo, il est possible dâactiver la double authentification (two-factor authentication en anglais, ou 2FA) pour les utilisateurs. Il sâagit dâune mĂ©thode dâauthentification forte, depuis plus en plus utilisĂ©e aujourdâhui. Quand on active la double authentification, les utilisateurs devront passer par deux Ă©tapes pour accĂ©der Ă Piwigo :
- Ătape 1 : identification classique (login + mot de passe)
- Ătape 2 : vĂ©rification de leur identitĂ©, via lâenvoi dâun email ou lâutilisation dâune application gĂ©nĂ©rant un code Ă usage unique (TOTP)
Pour mettre en place ce systĂšme dâauthentification Ă deux facteurs, vous devez installer et activer le plugin Two Factor Authentication.
Configuration du plugin Two Factor Authentication
Pour configurer la double authentification, rendez-vous dans la configuration du plugin.
Plusieurs options sont disponibles :
- Nombre maximal de tentatives Ă©chouĂ©es avant le verrouillage : si un utilisateur essaye plusieurs fois de se connecter sans succĂšs, son profil sera verrouillĂ©. Vous pouvez rĂ©gler ici le nombre dâessais maximum.
- Durée du verrouillage (en secondes) : durée pendant laquelle le profil sera verrouillé aprÚs que le nombre maximum de tentatives échouées soit atteint.
Deux méthodes disponibles pour la double authentification :
- 2FA par application : les utilisateurs devront utiliser une application dâauthentification qui gĂ©nĂšre un code Ă usage unique (TOTP)
- 2FA par e-mail : les utilisateurs recevront un code Ă usage unique par email.
Si vous le souhaitez, vous pouvez activer ces deux méthodes : les utilisateurs choisiront celle qui leur convient le mieux.
Activation de la double authentification par les utilisateurs
Une fois la double authentification activĂ©e via le plugin Two Factor Authentication, elle nâest pas activĂ©e par dĂ©faut pour les utilisateurs de Piwigo.
Chaque utilisateur doit activer lui-mĂȘme la double authentification.
Pour cela, il faut se rendre sur la galerie Piwigo et sur la page âProfilâ qui permet de gĂ©rer son compte utilisateur.
Cliquer sur la flĂšche pour afficher les options sous âAuthentification Ă deux facteursâ : vous pouvez alors choisir la mĂ©thode dâauthentification que vous souhaitez.
Remarque : si une seule mĂ©thode a Ă©tĂ© activĂ©e dans le paramĂ©trage du plugin, seule cette mĂ©thode sâaffiche ici.
Utiliser la double authentification Ă lâaide dâune application dâauthentification
Si vous choisissez cette mĂ©thode, vous devez utiliser une application dâauthentification, comme 1Password, Authy, Microsoft Authenticator, TOTP, ou toute autre application permettant de gĂ©nĂ©rer des codes de connexion Ă usage unique.
Vous devez dâabord installer lâapplication de votre choix sur votre tĂ©lĂ©phone, si ce nâest pas dĂ©jĂ fait. Dans cette documentation, nous montreront comment cela fonctionne avec lâapplication gratuite TOTP (disponible pour Apple iOS et Android).
Rendez-vous sur votre profil et cochez âConfiguration Ă lâaide dâune application dâauthentificationâ. Les instructions sâaffichent alors.
Lancer lâapplication dâauthentification sur votre tĂ©lĂ©phone, et ajoutez votre compte Piwigo en scannant le QR code qui sâaffiche Ă lâĂ©cran.
Une fois le compte ajoutĂ©, lâapplication gĂ©nĂšre un code Ă usage unique.
Saisissez le code à usage unique dans la zone prévue à cet effet sur votre profil Piwigo.
Piwigo affiche alors le message ci-dessous.
_-_copie/w=1920,quality=90,fit=scale-down)
Copiez les codes de rĂ©cupĂ©ration et stockez les dans un fichier, une note, un email, ou tout lieu sĂ©curisĂ© dont vous ĂȘtes certain de vous souvenir.
Attention : comme indiqué sur votre profil, une fois la double authentification activée, les applications tierces qui se connectent à votre compte Piwigo (applications mobiles Piwigo, plugin Lightroom, Piwigo Remote Sync) ne pourront plus se connecter à votre compte utilisateur. Lisez le dernier chapitre de cette page pour y remédier.
Utiliser la double authentification par email
Attention : cette mĂ©thode nâest pas la plus sĂ»re. Les emails peuvent tomber dans les SPAMS, ou bien ne pas ĂȘtre envoyĂ© si votre serveur est mal configurĂ©. Si vous activez cette mĂ©thode, assurez-vous que les emails envoyĂ©s par votre Piwigo arrivent bien Ă destination.
Une fois la double authentification par email activĂ©e dans la configuration du plugin, rendez-vous sur votre profil et cochez âConfiguration par emailâ. VĂ©rifiez que lâadresse e-mail associĂ©e Ă votre compte est la bonne, saisissez-lĂ dans la zone âConfirmez votre emailâ et cliquez sur âEnvoyez lâemailâ :
Consultez votre boßte mail, et une fois reçu, saisissez le code dans la zone dédiée.
Attention : comme indiqué sur votre profil, une fois la double authentification activée, les applications tierces qui se connectent à votre compte Piwigo (applications mobiles Piwigo, plugin Lightroom, Piwigo Remote Sync) ne pourront plus se connecter à votre compte utilisateur. Lisez le dernier chapitre de cette page pour y remédier.
Connexion aux applications tierces lorsque la 2FA est activée
Lorsque la 2FA est activée, les applications tierces qui se connectent à votre Piwigo ne pourront plus le faire en utilisant simplement votre nom d'utilisateur et votre mot de passe.
En attendant qu'elles implĂ©mentent un mĂ©canisme d'identification par clef ou qu'elles implĂ©mentent directement la 2FA, Piwigo a prĂ©vu une astuce pour que ces applications puissent continuer Ă fonctionner sans avoir besoin d'ĂȘtre mises Ă jour.
Si un utilisateur active la 2FA sur son profil et souhaite pouvoir continuer Ă se connecter Ă lâapplication mobile Piwigo, Ă Piwigo Remote Sync, ou au plugin dâexport Lightroom, il est indispensable de suivre la procĂ©dure suivante.
CrĂ©ation dâune clĂ© API dans votre profil
Rendez-vous dans la galerie Piwigo et sur la page âProfilâ qui permet de gĂ©rer son compte utilisateur.
Cliquez sur la flĂšche pour dĂ©rouler la zone âClĂ©s APIâ.
Créez une nouvelle clé API et nommez la du nom de l'application que vous souhaitez connecter, par exemple "Piwigo mobile iOS".
Choisissez la durĂ©e de validitĂ© de cette clĂ© : lorsquâelle arrivera Ă expiration, vous devrez en crĂ©er une nouvelle et rĂ©itĂ©rer lâopĂ©ration.
Cliquez sur âGĂ©nĂ©rer la clĂ©â : Piwigo affiche alors un code âidentifiantâ et un code âsecretâ que vous devez absolument copier et enregistrer dans un endroit oĂč vous ĂȘtes certain de les retrouver (une note, un document, un emailâŠ).
Connexion à une application tierce avec votre clé API
Ă prĂ©sent connectez-vous Ă lâapplication tierce que vous souhaitez utiliser (comme lâapplication mobile Piwigo, par exemple).
Ă la place du nom d'utilisateur, fournissez l'ID (identifiant) de la clef d'API, commençant par "pkid-...", et Ă la place du mot de passe, fournissez le âsecretâ de la clef d'API : vous ĂȘtes connectĂ© et reconnu comme l'utilisateur associĂ© Ă la clef d'API.
La clef API ayant une durée de vie limitée, il faudra veiller à la renouveler réguliÚrement. Piwigo vous enverra un email lorsqu'une de vos clef d'API expirera.