Forcer le 2FA sur toute l'instance

À qui s'adresse cette page

Administrateurs qui souhaitent obliger tous les utilisateurs à configurer l'authentification à deux facteurs (TOTP) avant d'accéder à l'instance.

Activer le 2FA obligatoire

Le paramètre totp_force_enabled est un paramètre dynamique stocké en base de données. Il prend effet immédiatement, sans redémarrage du service.

  1. Connectez-vous à l'interface d'administration : /admin
  2. Accédez à /admin/settings
  3. Trouvez le paramètre totp_force_enabled
  4. Activez le toggle et cliquez Enregistrer

Activation du 2FA obligatoire dans /admin/settings

Comportement après activation

Dès que totp_force_enabled=true est enregistré :

  • Tout utilisateur sans 2FA configuré est redirigé vers la page de configuration TOTP à sa prochaine connexion. Il ne peut pas accéder à l'application tant que la configuration n'est pas complète.
  • Les utilisateurs qui ont déjà configuré le 2FA ne sont pas affectés.
  • Les administrateurs sont soumis à la même règle — vérifiez que votre propre compte a le 2FA actif avant d'activer ce paramètre.

Conseil : prévenez vos utilisateurs avant d'activer ce paramètre. Un e-mail ou une annonce interne évite les appels au support pour des connexions bloquées.

Vérifier que le 2FA est actif sur votre compte

Avant d'activer totp_force_enabled, confirmez que votre compte admin a bien le 2FA configuré :

  1. Cliquez sur votre avatar → Paramètres du profil
  2. Section Sécurité → vérifiez que Authentification à deux facteurs affiche « Actif »

Si ce n'est pas le cas, configurez le 2FA sur votre compte avant d'activer le paramètre global.

Révoquer le 2FA d'un utilisateur spécifique

Si un utilisateur a perdu accès à son application TOTP (téléphone perdu, application réinstallée) :

  1. Accédez à /admin/users
  2. Ouvrez la fiche de l'utilisateur concerné
  3. Cliquez Révoquer le 2FA
  4. L'utilisateur sera invité à reconfigurer le TOTP à sa prochaine connexion

Désactiver le 2FA obligatoire

  1. Accédez à /admin/settings
  2. Désactivez le toggle totp_force_enabled
  3. Cliquez Enregistrer

Les utilisateurs peuvent à nouveau se connecter sans 2FA. Les configurations TOTP existantes sont conservées.

Pour aller plus loin