Gestion sécurisée des accès avec filtrage par IP

Gestion sécurisée des accès avec filtrage par IP

Gestion des accès aux applications Amisgest

Dans le but de protéger l'accès aux informations disponibles dans vos applications Amisgest, il est possible de restreindre les utilisateurs, les appareils et les endroits ayant le droit de se connecter à vos applications Amisgest. Cet outil est une autre manière de gérer l'authentification multifacteur, en filtrant les connexions par adresse IP, tandis que l'autre méthode d'authentification multifacteur utilise un code OTP (One-Time Password). Les deux méthodes sont sécuritaires et permettent de renforcer la protection de vos données.

Vous pouvez décider d'autoriser ou de refuser l'accès à un utilisateur, un appareil ou un endroit. Par exemple, un employé pourrait se connecter via la tablette de votre service de garde dans les locaux de votre établissement, mais pas via son téléphone au même endroit.

Paramétrage des accès :

Il est possible de configurer les accès des employés et des utilisateurs pour se connecter à Amisgest selon :

  • L'appareil utilisé (téléphone, tablette, ordinateur)
  • L'endroit d'où cet utilisateur tente de se connecter (au travail, à la maison, en extérieur)
  • Le navigateur utilisé (application Amisgest, Safari, Chrome, Edge...)

Vous pouvez également, à tout moment, donner ou retirer une autorisation complète à n'importe quel employé ou utilisateur.


Note : Les parents ont accès en tout temps et n'ont pas besoin d'autorisation pour se connecter au Portail Parents, au Cahier de Communication, ou au Journal de Bord À Petits Pas. Pour leur retirer l'accès, il suffit de retirer l'adresse courriel associée au dossier de leur(s) enfant(s).

Paramètres de connexion

Pour commencer, chaque utilisateur ayant le rôle Administration peut gérer les autorisations d'accès aux applications Amisgest. Il est important que ces administrateurs disposent également d'un numéro de téléphone cellulaire dans leur dossier utilisateur afin de s'auto-autoriser (authentification à plusieurs facteurs).

Lorsqu'un utilisateur avec le rôle Administration et un numéro de cellulaire tente de se connecter pour la première fois, un SMS (texto) lui est envoyé. Il pourra alors autoriser lui-même cette nouvelle connexion.

Si un administrateur tente de se reconnecter ultérieurement (par exemple à partir d'une tablette), il recevra une notification PUSH ainsi qu'un courriel pour autoriser cette nouvelle tentative.

Pour tout autre utilisateur ou employé, lors de leur première tentative de connexion, tous les utilisateurs ayant le rôle Administration recevront un courriel les informant de la demande. L'un des administrateurs pourra alors autoriser cette nouvelle connexion via le courriel ou directement dans l'application, comme illustré ici.


Attribution du rôle "Administration"

Pour attribuer le rôle Administration à un utilisateur :

  1. Accédez à l'onglet Réglages.
  2. Sélectionnez le menu Utilisateurs.
  3. Cliquez sur l'utilisateur à modifier.
  4. Ajoutez ou modifiez le rôle Administration dans les paramètres de cet utilisateur.

Cela permet à cet utilisateur de gérer les autorisations d'accès aux applications Amisgest.








À partir de l'onglet Rôles et permissions, cochez la case à gauche du rôle "Administration" puis sur le bouton Enregistrer.
Le rôle  "Administration permet également de créer les utilisateurs et leur donner des accès, ainsi que modifier les informations au dossier des enfants et des employés (informations qui ne sont pas synchronisées avec votre logiciel financier).
IMPORTANT: Vous pouvez avoir autant d'utilisateurs avec le rôle" Administration" que vous le désirez. Mais normalement c'est un rôle important restreint qu'on attribue aux DG, DGA ou autre administrateur ou personne en charge d'une installation ou d'une corporation.

Activation de la connexion à multifacteur

Afin de pouvoir gérer qui peut se connecter et comment, vous devez activer la connexion multifacteur.
À partir de votre Amisgest SDG+, accédez à Réglages puis choisissez le menu Connexions :



Par défaut, toutes les connexions sont autorisées (icône ).
C'est-à-dire que tous les utilisateurs et tous les employés peuvent se connecter de l'endroit de leur choix, avec le média de leur choix (tablette, téléphone, ordinateur) et avec le navigateur de leur choix (application, Safari, Chrome, Edge...)
Pour activer la restriction de connexion, vous devez appuyer sur le cadenas afin qu'il apparaisse fermé .



Lors de la première activation du multifacteur, l'application autorisera toutes les connexions qui ont été effectuées dans le dernier mois afin de ne pas bloquer tous les utilisateurs. Vous pourrez par la suite retirer ou ajouter des accès au besoin.

Fonctionnement

La grille ci-dessous vous permet de voir toutes les connexions qui ont été effectuées selon les paramètres d'affichages disponibles suivants :

 Ce menu permet de choisir l'application pour laquelle les informations dans la grille sont affichées. Nous consultons actuellement toutes les connexions effectuées à l'application Web de Amisgest SDG.
 Ce menu permet de choisir d'afficher les connexions effectuées depuis le nombre de jours choisis. Les choix disponibles sont : Aujourd'hui, Depuis 7 jours, Depuis 30 jours ou Tout (les demandes en attentes à moins de 60 jours).
 Ce bouton vous permet d'activer /désactiver les autorisations multifacteur. Lorsque le cadenas est débarré,  les autorisations à multifacteur sont désactivées et tous les utilisateurs peuvent se connecter avec l'appareil de leur choix, à l'endroit de leur choix. Lorsque le cadenas est barré  les autorisations à multifacteur sont activées.
 Vous permet de voir toutes les personnes qui ont envoyé une demande d'autorisation de connexion.
 Cette icône permet de consulter l'emplacement duquel s'est connecté l'utilisateur. Vous pouvez également gérer les autorisations de cet utilisateur à partir de cette icône.

Lorsque vous cliquez sur le bouton , toutes les connexions autorisées apparaitront à l'écran, comme démontré ici :


À moins de connaitre à qui appartient l'adresse IP, il n'est pas pratique de gérer les autorisations par ici. Par contre, comme la date et l'heure de la dernière tentative de connexion avec cette adresse IP sont inscrites, si la personne qui a été bloquée vous avise immédiatement, vous pourrez tout de même l'autoriser par ici.

La partie gauche de l'écran vous affiche toutes les connexions non autorisées tandis que la partie droite de l'écran, ce sont toutes les connexions autorisées.
À moins de connaitre d'où provient l'adresse IP,  il n'est pas possible de savoir à qui elle appartient.
Il est possible d'ajouter ou de retirer une autorisation en utilisant les flèches au centre de l'écran. Pour se faire, sélectionnez la connexion à autoriser ou à retirer puis cliquez sur la flèche  pour autoriser cette connexion ou  pour retirer l'autorisation è cette connexion.

Vous pouvez également autoriser tous les emplacements de la colonne de gauche en cliquant sur les multi flèches  ou retirer l'autorisation de connexion à tous les emplacements préalablement autorisés de la colonne de droite en cliquant sur .

Comment autoriser simplement les accès

Lorsque vous avez activé la connexion multifacteur, il est plus simple de consulter et faire la gestion des autorisations de chaque utilisateur. 
Accédez à l'écran d'accueil des Connexions :




Cliquez ensuite sur l'icône  au bout de l'utilisateur pour lequel vous désirez gérer les autorisations :


Cliquez ensuite sur le bouton . Toutes les autorisations /restrictions de l'utilisateur seront affichées tel que ci-dessous :




La colonne de gauche contient toutes les restrictions tandis que la colonne de droit, toutes les autorisations.
De cette façon, vous pourriez autoriser un utilisateur à se connecter avec l'ordinateur du service de garde, par Chrome et par Edge par exemple mais pas via son téléphone

Tentative de connexion d'un utilisateur non autorisé

Lorsqu'un utilisateur ou employé non autorisé tente de se connecter pour la première fois avec un nouvel appareil, un cadenas apparait devant la connexion non autorisée :


Lorsqu'on tente de se connecter, le message suivant apparait :



Un courriel est automatiquement envoyé à tous les utilisateurs ayant le rôle "Administration" :



Afin d'autoriser cette personne à se connecter, vous devez cliquer sur le bouton  et la page suivante s'ouvrira :

Vous devez ensuite cliquer sur le bouton  afin d'autoriser la connexion.



Lorsque l'autorisation est active, le message suivant apparait :