Authentik : Comment configurer la réinitialisation de mot de passe par e-mail

Dans ce tutoriel, on va voir comment configurer la réinitialisation de mot de passe e-mail dans Authentik, afin de permettre au utilisateur changer leur mot de passe en toute autonomie, cette solution permet aussi au utilisateur de créer leur mot de passe de façon autonome après avoir créer leur compte.

Cette solution s’applique uniquement aux utilisateurs créer dans Authentik, même s’il est possible de modifier les mots de passe Active Directory directement depuis authentique.

Pour mettre en place la réinitialisation de mot de passe par e-mail, nous allons devoir modifier configurer un « flow », avant de commencer, il est impératif d’avoir configurer un serveur SMTP pour l’envoie des messages.

Sommaire

Création d’une politique de mot de passe

Pour commencer, nous allons créer une politique de mot de passe afin d’éviter les mots de passe comme 12345 ou azerty.

Depuis l’administration d’Authentik, aller dérouler Customization 1, aller sur Policies 2 et cliquer sur Créer 3.

Sélectionner Password Policy 1 et cliquer sur Suivant 2.

Nommer la politique de mot de passe 1, sélectionner le champ de mot de passe : password 2 puis configurer les règles 3 et cliquer sur le bouton Terminer 4 pour créer la politique de mot de passe.

La politique de mot de passe est créée.

Création de étape supplémentaire pour la réinitialisation de mot de passe par e-mail

Afin de mettre en place la réinitialisation de mot de passe par e-mail, nous allons devoir créer des étapes dans Authentik.

Depuis le menu aller sur Stages 1.

Ajout d’une étape Identification Stage

Cliquer sur le bouton Créer 1.

Choisir l’étape Identification Stage 1 et cliquer sur Suivant 2.

Nommer l’étape 1 et cliquer sur Terminer 2 pour la créer.

Il n’y a normalement pas besoin de modifier la configuration

L’étape est créée.

Cette étape va nous permettre de demander l’identifiant ou le mot de passe de l’utilisateur lorsque celui-ci démarre le processus de réinitialisation du mot de passe.

Ajout d’une étape pour envoyer le message

L’étape que l’on va créer maintenant va envoyer le message à l’utilisateur.

Cliquer de nouveau sur le bouton Créer 1.

Choisir l’étape : Email Stage 1 et cliquer sur Suivant 2.

Donner un nom 1 l’étape, entrer le sujet du message 2, sélectionner le modèle Password Reset 3 et cliquer sur Terminer 4.

Le seconde étape est créé.

Création et configuration du Flux du changement de mot de passe

Nous allons maintenant créer le flux (Flow) qui va gérer le changement de mot de passe dans Authentik.

Depuis le menu, aller sur Flows 1 puis sur la page qui liste les flux, cliquer sur Créer 2.

Donner un nom 1 et un titre 2 au nouveau flux, si le slug n’est pas généré, le saisir 3, en désignation choisir Récupération 4 puis cliquer sur le bouton Créer 5.

Le flux est créé, cliquer dessus 1 pour accéder à sa configuration.

On arrive sur le détail du flux et on peut voir les étapes de celui-ci dans la partie Diagramme, qui est vide pour le moment, aller sur Liaisons de l’étape 1.

Cliquer sur le bouton Lier une étape existante 1.

Commencer par sélectionner l’étape que l’on créé précédemment qui s’appel recovery-password 1 qui est de type Identification Stages, laisser le tri (poids) à 0 2 et cliquer sur le bouton Créer 3.

Lier une nouvelle étape existante, cette fois choisir l’étape recovery-password-email 1 avec un tri à 5 2 et cliquer sur Créer 3.

Ajoute une nouvelle liaison, choisir l’étape default-password-change-prompt 1 avec un tri à 10 2 et cliquer sur Créer 3.

Pour finir, lier l’étape default-password-change-write 1 avec un tri à 15 2 et cliquer sur le bouton Créer 3.

Les 4 étapes ont été ajoutées.

On va maintenant modifier l’étape default-password-change-prompt pour appliquer la politique de mot de passe que l’on a créé, cliquer sur Editer l’étape 1.

Dans la section : Politique de validation, ajouter le politique de mot de passe 1 et cliquer sur Mettre à jour 2.

Si on retourne sur l’Aperçu du flux, on peut voir les différentes étapes dans le Diagramme.

Modification du flux d’authentification par défaut

On va maintenant modifier le flux par défaut d’authentification, pour ajouter la possibilité de réinitialiser le mot de passe.

Depuis la liste des flux (Flows), cliquer sur default-authentification-flow 1.

Depuis la page du flux, cliquer sur Liaisons de l’étape 1.

Cliquer sur le bouton Editer l’étape 1 de default-authentification-identification.

Dans le champ Etape de mot de passe, sélectionner default-authentification-password 1, plus bas dans le champ Flux de récupération, choisir recovery-password 2 et cliquer sur Mettre à jour 3.

Pour finir, on va supprimer le flux default-authentification-password, sélectionner le 1 et cliquer sur Supprimer 2.

Confirmer la suppression en cliquant de nouveau sur le bouton Supprimer 1.

La configuration d’Authentik est terminé.

Tester le processus de réinitialisation de mot de passe par l’utilisateur dans Authentik

Depuis un autre navigateur, aller sur l’URL d’Authentik, on peut voir que le formulaire a été modifié avec le champ de mot passe et la possibilité de récupérer son mot de passe ou nom d’utilisateur, cliquer sur le lien Mot de passe ou nom d’utilisateur oublié ? 1.

Entrer votre adresse e-mail 1 et cliquer sur Continue 2.

Un message est affiché à l’utilisateur lui indiquant qu’un message a été envoyé.

Depuis votre boite aux lettres, cliquer sur lien Reset Password 1 dans le message reçu.

Une fois redirigé sur Authentik, cliquer sur le bouton Continuer 1.

Entrer votre nouveau mot de passe 1 qui respecte la politique et cliquer sur Continuer 2.

Vous pouvez maintenant, vous identifiez avec votre nouveau mot de passe.

❓ FAQ – Réinitialisation de mot de passe avec Authentik

Est-ce que les utilisateurs doivent avoir une adresse e-mail pour réinitialiser leur mot de passe ?

Oui, l’adresse e-mail est indispensable. Authentik envoie un lien de réinitialisation à l’adresse renseignée dans le profil utilisateur.

Peut-on personnaliser le contenu de l’e-mail de réinitialisation ?

Oui, Authentik permet de personnaliser les modèles d’e-mails, y compris celui utilisé pour la réinitialisation de mot de passe.

Est-il possible de forcer un utilisateur à définir son mot de passe à la première connexion ?

Oui. Lors du provisionnement d’un compte, il est possible de ne pas définir de mot de passe et de laisser l’utilisateur l’initialiser via le lien « Mot de passe oublié ».

Cette fonction est-elle compatible avec l’authentification via LDAP ou SSO ?

La réinitialisation de mot de passe est uniquement disponible pour les comptes gérés directement par Authentik. Pour les sources externes comme LDAP ou SSO, le mot de passe doit être géré via le fournisseur d’identité.

Peut-on désactiver cette fonction pour certains utilisateurs ou groupes ?

Pas directement. Cependant, en adaptant les policies et les flows d’Authentik, il est possible de contrôler les accès aux différentes fonctionnalités, y compris celle-ci.

Grâce à la mise en place de la réinitialisation de mot de passe dans Authentik, vous offrez à vos utilisateurs une véritable autonomie dans la gestion de leur compte. Cette fonctionnalité est particulièrement utile dans les environnements où les comptes sont provisionnés automatiquement : les utilisateurs peuvent ainsi initialiser eux-mêmes leur mot de passe dès leur première connexion, sans intervention du support. En plus de simplifier l’administration, cela améliore considérablement l’expérience utilisateur tout en renforçant la sécurité et la fluidité des accès.

Authentik
AuthentificationMot de passesso
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Architecte Système | MCSE: Core Infrastructure
Expert en infrastructures IT avec plus de 15 ans d’expérience sur le terrain. Actuellement Chef de projet Systèmes et Réseaux et Référent SSI (Sécurité des Systèmes d’Information), je mets mon expertise au service de la fiabilité et de la sécurité des environnements technologiques.