[PaaS uniquement]{class="badge informative" title="S’applique uniquement aux projets Adobe Commerce on Cloud (infrastructure PaaS gérée par Adobe) et aux projets On-premise."}

Configuration de la sécurité de l’administrateur

Nous vous recommandons d’adopter une approche multidimensionnelle pour protéger la sécurité de votre magasin. Vous pouvez commencer par utiliser une URL d’administration personnalisée difficile à deviner, plutôt que l’évidente « Administration » ou « Serveur principal ». Par défaut, les mots de passe utilisés pour se connecter à l’administrateur doivent comporter sept caractères ou plus, ainsi que des lettres et des chiffres. En bonne pratique, utilisez uniquement des mots de passe d’administration forts qui incluent une combinaison de lettres, de chiffres et de symboles. Adobe Commerce et Magento Open Source n’autorisent pas la réutilisation des quatre derniers mots de passe attribués au compte.

La configuration de sécurité d’administration vous permet d’effectuer les opérations suivantes :

  • Ajout d’une clé secrète aux URL
  • Exiger que les mots de passe respectent la casse
  • Limiter la durée des sessions Admin
  • Limiter la durée de vie des mots de passe
  • Limitez le nombre de tentatives de connexion avant que le compte utilisateur administrateur ne soit verrouillé.

Pour une sécurité renforcée, vous pouvez configurer la durée d’inactivité du clavier avant l’expiration de la session en cours et exiger que le nom d’utilisateur et le mot de passe soient sensibles à la casse.

Outre les paramètres de sécurité de cette section, l’authentification à deux facteurs (2FA) est nécessaire pour vérifier l’identité des utilisateurs à l’aide d’un mot de passe à usage unique généré par une application ou un appareil. La première fois que vous vous connectez à l’administrateur, vous êtes invité à configurer 2FA. Pour plus de sécurité, la connexion d’administrateur peut également être configurée pour nécessiter un CAPTCHA.

NOTE
Les magasins qui ont activé l’authentification Adobe Identity Management Services (IMS) ont Adobe Commerce et Magento Open Source 2FA natifs désactivés. Les utilisateurs administrateurs connectés à leur instance Commerce avec leurs informations d’identification Adobe n’ont pas besoin de s’authentifier à nouveau pour de nombreuses tâches d’administration. L’authentification est gérée par Adobe IMS lorsque l’utilisateur administrateur se connecte à sa session en cours. Voir Présentation de l’intégration Adobe Identity Management Service (IMS).

Pour obtenir des informations techniques, voir Présentation de la sécurité dans la documentation destinée aux développeurs.

Sécurité de l’administrateur {width="600" modal="regular"}

Configuration de la sécurité de l’administrateur

  1. Dans la barre latérale Admin, accédez à Stores > Settings>Configuration.

  2. Dans le panneau de gauche sous Advanced, choisissez Admin.

  3. Développez Sélecteur d’extension la section Security .

  4. Pour empêcher les utilisateurs administrateurs de se connecter à partir du même compte sur différents appareils, définissez Admin Account Sharing sur No.

  5. Pour déterminer la méthode utilisée pour gérer les demandes de réinitialisation de mot de passe, définissez Password Reset Protection Type sur l’une des méthodes suivantes :

    • By IP and Email — Le mot de passe peut être réinitialisé en ligne après réception d'une réponse de la notification envoyée à l'adresse e-mail associée au compte d'administrateur.
    • By IP — Le mot de passe peut être réinitialisé en ligne sans confirmation supplémentaire.
    • By Email — Le mot de passe ne peut être réinitialisé qu'en répondant par e-mail à la notification envoyée à l'adresse e-mail associée au compte Admin.
    • None — Seul l'administrateur du magasin peut réinitialiser le mot de passe.
  6. Définissez les options de sécurité de connexion :

    • Par Recovery Link Expiration Period (hours), saisissez le nombre d’heures pendant lesquelles un lien de récupération du mot de passe reste valide.

    • Pour déterminer le nombre maximal de demandes de mot de passe qui peuvent être envoyées par heure, saisissez le nombre pour Max Number of Password Reset Requests.

    • Par Min Time Between Password Reset Requests, saisissez le nombre minimum de minutes qui doit s’écouler entre les demandes de réinitialisation de mot de passe.

    • Pour ajouter une clé secrète à l’URL d’administration par mesure de précaution contre les exploits, définissez Add Secret Key to URLs sur Yes. Ce paramètre est activé par défaut.

    • Pour exiger que l’utilisation de caractères majuscules et minuscules dans toutes les informations d’identification saisies corresponde à ce qui est stocké dans le système, définissez Login is Case Sensitive sur Yes.

    • Pour déterminer la durée d’une session d’administrateur avant qu’elle n’expire, saisissez la durée de la session en secondes pour Admin Session Lifetime (seconds) champ . La valeur doit être supérieure ou égale à 60 secondes.

    • Par Maximum Login Failures to Lockout Account, saisissez le nombre de fois qu’un utilisateur peut essayer de se connecter à l’administrateur avant que le compte ne soit verrouillé. Par défaut, six tentatives sont autorisées. Laissez le champ vide pour un nombre illimité de tentatives de connexion.

    • Par Lockout Time (minutes), saisissez le nombre de minutes pendant lesquelles un compte d’administrateur est verrouillé lorsque le nombre maximal de tentatives est atteint.

  7. Définissez les options de mot de passe :

    • Pour limiter la durée de vie des mots de passe d’administration, saisissez le nombre de jours pendant lesquels un mot de passe est valide pour Password Lifetime (days). Pour une durée de vie illimitée, laissez le champ vide.

    • Définissez Password Change sur l’une des options suivantes :

      • Forced — Nécessite que les utilisateurs administrateurs changent leurs mots de passe après la configuration du compte.
      • Recommended — Recommande aux utilisateurs administrateurs de modifier leurs mots de passe après la configuration du compte.
  8. Cliquez ensuite sur Save Config.

Exigences de mot de passe administrateur

Par défaut, un mot de passe administrateur doit comporter au moins sept caractères et inclure des lettres et des chiffres.

recommendation-more-help
d3c62084-5181-43fb-bba6-1feb2fcc3ec1