Configuration de la sécurité d’administration

Nous vous recommandons d’adopter une approche multidimensionnelle pour protéger la sécurité de votre magasin. Vous pouvez commencer par utiliser une URL d’administration personnalisée ce n'est pas facile à deviner, plutôt que l'évident "administrateur" ou "serveur principal". Par défaut, les mots de passe utilisés pour connexion à l’administrateur doit comporter au moins sept caractères et contenir à la fois des lettres et des chiffres. Comme bonne pratique, utilisez uniquement des mots de passe administrateur difficiles à deviner qui contiennent une combinaison de lettres, de chiffres et de symboles. Adobe Commerce et Magento Open Source ne permettent pas la réutilisation des quatre derniers mots de passe affectés au compte.

La configuration relative à la sécurité de l’administrateur vous permet d’effectuer les opérations suivantes :

  • Ajout d’une clé secrète aux URL
  • Requiert que les mots de passe soient sensibles à la casse
  • Limitation de la durée des sessions d’administration
  • Limiter la durée de vie des mots de passe
  • Limitez le nombre de tentatives de connexion pouvant être effectuées avant que le compte d’utilisateur administrateur ne soit verrouillé.

Pour une sécurité accrue, vous pouvez configurer la durée d’inactivité du clavier avant l’expiration de la session en cours et exiger que le nom d’utilisateur et le mot de passe soient sensibles à la casse.

Outre les paramètres de sécurité de cette section, authentification à deux facteurs (2FA) est requis pour vérifier l’identité des utilisateurs à l’aide d’un mot de passe unique généré par une application ou un appareil. Vous êtes invité à configurer 2FA la première fois que vous vous connectez à l’administrateur. Pour plus de sécurité, la connexion administrateur peut également être configurée de manière à nécessiter une CAPTCHA.

NOTE
Magasins qui ont activé Adobe Identity Management Services (IMS) l’authentification avec Adobe Commerce natif et Magento Open Source 2FA est désactivée. Les utilisateurs administrateurs connectés à leur instance Commerce avec leurs informations d’identification d’Adobe n’ont pas besoin de se réauthentifier pour de nombreuses tâches d’administration. L’authentification est gérée par Adobe IMS lorsque l’utilisateur administrateur se connecte à sa session en cours. Voir Adobe Identity Management Service (IMS) Présentation de l’intégration.

Pour obtenir des informations techniques, voir Présentation de la sécurité{:target="_blank"} dans la documentation destinée aux développeurs.

Sécurité de l’administrateur {width="600" modal="regular"}

Configuration de la sécurité d’administration

  1. Sur le Administration barre latérale, accédez à Stores > Settings>Configuration.

  2. Dans le panneau de gauche, sous Advanced, choisissez Admin.

  3. Développer Sélecteur d’extension la valeur Security .

  4. Pour empêcher les utilisateurs administrateurs de se connecter à partir du même compte sur différents appareils, définissez Admin Account Sharing to No.

  5. Pour déterminer la méthode utilisée pour gérer les demandes de réinitialisation de mot de passe, définissez Password Reset Protection Type à l’une des options suivantes :

    • By IP and Email — Le mot de passe peut être réinitialisé en ligne à la réception d’une réponse de la notification à l’adresse électronique associée au compte administrateur.
    • By IP — Le mot de passe peut être réinitialisé en ligne sans confirmation supplémentaire.
    • By Email — Le mot de passe ne peut être réinitialisé qu’en répondant par courrier électronique à la notification envoyée à l’adresse électronique associée au compte administrateur.
    • None — Le mot de passe ne peut être réinitialisé que par l’administrateur du magasin.
  6. Définissez les options de sécurité de connexion :

    • Pour Recovery Link Expiration Period (hours), saisissez le nombre d’heures pendant lesquelles un lien de récupération de mot de passe reste valide.

    • Pour déterminer le nombre maximal de demandes de mot de passe qui peuvent être envoyées par heure, saisissez le nombre Max Number of Password Reset Requests.

    • Pour Min Time Between Password Reset Requests, saisissez le nombre minimum de minutes qui doivent s’écouler entre les demandes de réinitialisation de mot de passe.

    • Pour ajouter une clé secrète à l’URL d’administration par mesure de précaution contre les exploits, définissez Add Secret Key to URLs to Yes. Ce paramètre est activé par défaut.

    • Pour exiger que l’utilisation de caractères majuscules et minuscules dans les informations de connexion saisies corresponde à ce qui est stocké dans le système, définissez Login is Case Sensitive to Yes.

    • Pour déterminer la durée d’une session d’administrateur avant son expiration, saisissez la durée de la session en secondes pour Admin Session Lifetime (seconds) champ . La valeur doit être de 60 secondes ou plus.

    • Pour Maximum Login Failures to Lockout Account, saisissez le nombre de fois où un utilisateur peut tenter de se connecter à l’administrateur avant que le compte ne soit verrouillé. Par défaut, six tentatives sont autorisées. Laissez le champ vide pour un nombre illimité de tentatives de connexion.

    • Pour Lockout Time (minutes), indiquez le nombre de minutes pendant lesquelles un compte administrateur est verrouillé lorsque le nombre maximum de tentatives est atteint.

  7. Définition des options de mot de passe :

    • Pour limiter la durée de vie des mots de passe administrateur, saisissez le nombre de jours pendant lesquels un mot de passe est valide. Password Lifetime (days). Pour une durée de vie illimitée, laissez le champ vide.

    • Définir Password Change à l’une des options suivantes :

      • Forced — Nécessite que les utilisateurs administrateurs modifient leurs mots de passe après la configuration du compte.
      • Recommended — Recommande aux utilisateurs administrateurs de modifier leurs mots de passe après la configuration du compte.
  8. Lorsque vous avez terminé, cliquez sur Save Config.

Exigences en matière de mot de passe administrateur

Par défaut, un mot de passe administrateur doit comporter au moins sept caractères et contenir à la fois des lettres et des chiffres.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1