Sécurité
Votre sécurité est notre priorité absolue à Rentals United. Dans le panneau Sécurité, vous pouvez contrôler les paramètres de sécurité de votre compte. Les paramètres définis ici affectent le propriétaire du compte et les sous-utilisateurs. Améliorez la sécurité de votre compte et découvrez plusieurs fonctions clés dans les paramètres de votre compte. Lire les détails ci-dessous.
L'onglet Sécurité n'est pas disponible pour les sous-utilisateurs. Si vous ne voyez pas l'onglet Sécurité dans le menu principal, cela signifie que vous n'êtes pas le propriétaire du compte. Si vous pensez que c'est incorrect, contacter
Pour modifier la plupart des paramètres de l'onglet Sécurité, vous devez fournir vos informations d'identification. Il s'agit d'une étape obligatoire pour confirmer votre identité avant que les paramètres ne soient modifiés.
Exiger une authentification multifactorielle (MFA)
Exiger l'authentification multifactorielle (MFA ) - L'authentification multifactorielle (MFA) est une méthode d'authentification dans laquelle l'utilisateur ne se voit accorder l'accès qu'après avoir confirmé avec succès sa tentative de connexion. Pour en savoir plus sur la MFA ici.
-
La MFA est activée par défaut pour tous les utilisateurs (propriétaire du compte et sous-utilisateurs).
-
La MFA peut être désactivée uniquement pour le propriétaire du compte (non recommandé)
-
Les sous-utilisateurs sont toujours tenus de se connecter à l'aide de la MFA.
-
La MFA est toujours requise lors de la connexion à partir d'une adresse IP inconnue (non utilisée depuis plus de deux semaines).
-
Les notifications de la MFA sont envoyées en premier lieu au nom d'utilisateur (adresse électronique que vous utilisez pour vous connecter).
-
Vous pouvez configurer un courriel de notifications d'AMF où vous recevrez vos notifications de MFA (applicable uniquement aux propriétaires de compte). Cet e-mail sera utilisé uniquement pour ls MFA.
Forcer le changement de mot de passe tous les 90 jours
Forcer le changement de mot de passe tous les 90 jours - cette option oblige vos utilisateurs et sous-utilisateurs à changer de mot de passe tous les 90 jours. Il est activé par défaut. Pour en savoir plus sur les exigences et les procédures de changement de mot de passe ici.
Historique de la connexion
Déconnexion de toutes les sessions - si vous repérez une tentative de connexion ou une activité suspecte dans votre compte, vous pouvez forcer la déconnexion et mettre fin à toutes les sessions actives (pour tous les utilisateurs et toutes les sessions, y compris l'API) en cliquant sur le bouton Déconnexion de toutes les sessions. Vous serez également déconnecté de votre session actuelle. Veillez à modifier votre mot de passe par la suite !
L'historique des connexions vous permet de visualiser les activités récentes liées à la sécurité de votre compte.
-
statut de la tentative de connexion (réussie ou échouée)
-
horodatage de la tentative de connexion
-
nom d'utilisateur utilisé pour la connexion
-
IP
Accès à l'API
Dans cette section, vous pouvez contrôler qui peut accéder à votre compte via l'API. Vous pouvez le faire en définissant les adresses IP qui y auront accès.
La limitation de l'accès à l'API présente les avantages suivants :
-
Augmente la sécurité globale de votre compte
-
Protège vos données et celles de vos clients
-
Sécurise votre compte contre une utilisation non autorisée
-
Respecter les normes et les politiques de sécurité
Demande d'accès à l'API
Si l'accès à l'API n'est pas activé, vous verrez les informations correspondantes dans le panneau Sécurité.
Par défaut, tous les nouveaux comptes sont créés sans que l'accès à l'API soit activé. Cependant, vous pouvez demander l'accès à l'API à tout moment.
-
Ouvrez le Sécuritépanneau.
-
Faites défiler la page jusqu'à la section " Accès à l'API".
-
Cliquez sur Demande d'accès.
La demande d'accès est envoyée à l'équipe d'assistance et sera bientôt confirmée. Une fois qu'il est confirmé, vous verrez que l'accès à l'API sera réglé sur Aucune restriction d'IP. L'équipe d'assistance vous contactera.
Options d'accès à l'API
Une fois que l'accès à l'API vous a été accordé, les options suivantes sont disponibles dans le panneau Sécurité.
-
Adresse IP sur liste blanche uniquement
Cette option vous permet de fournir une adresse IP qui peut être utilisée pour accéder à l'API. Vous pouvez définir ici une ou plusieurs adresses IP. Les adresses IP utilisées pour appeler notre API seront validées par rapport à cette liste blanche. Si une demande à notre API est faite à partir d'une adresse IP qui n'est pas ajoutée à la liste blanche, l'API renvoie un message d'erreur et la demande n'est pas traitée. Notez que vous devez définir une adresse IP exacte et qu'aucune adresse IP masquée ou sauvage n'est acceptée (option recommandée et la plus sûre).
-
Pas de restriction d'IP
Cette option permet d'accéder à votre compte via l'API à partir de n'importe quelle adresse IP. Nous ne vérifierons pas l'adresse IP à partir de laquelle la demande a été faite (ce qui n'est pas recommandé).
-
Bloquer l'accès à l'API
Cette option révoque l'accès à l'API de votre compte. Vous pourrez toujours demander l'accès à l'API à l'avenir, mais votre demande devra être approuvée par notre équipe d'assistance, comme décrit ici
Clés API
Les clés API constituent un moyen alternatif de s'authentifier lors de l'utilisation de notre API. Au lieu de s'appuyer sur des identifiants de connexion personnels, tels qu'un nom d'utilisateur et un mot de passe, une clé API agit comme un jeton numérique qui donne accès à des ressources ou des services spécifiques. L'utilisation de clés API permet de préserver la sécurité des informations d'identification personnelles tout en permettant un accès plus contrôlé et plus facile à gérer. Les meilleures pratiques, telles que la rotation ou la révocation régulière des clés, garantissent le plus haut niveau de sécurité et réduisent le risque d'exposition des données sensibles.
Le fait de disposer de plusieurs clés d'API facilite et sécurise la gestion de l'accès à l'API. Ainsi, si une clé est perdue ou doit être désactivée, l'impact sur le reste de l'installation est réduit au minimum. Par exemple, vous pouvez :
-
Utiliser des clés différentes pour les tests et la production
-
Attribuer des clés distinctes aux différents membres de l'équipe ou aux différents outils
-
Suivi de l'utilisation pour savoir qui accède à l'API
-
Désactiver les clés au cas où elles seraient compromises
En savoir plus sur les meilleures pratiques pour l'utilisation des clés de l'API.
Ajouter une nouvelle clé API
Remarques importantes
-
Vous pouvez créer jusqu'à 10 clés API
-
Les clés API sont générées automatiquement par le système
-
La section des clés API n'est visible que par les utilisateurs ayant un accès API
-
Créez des clés API pour tous les produits que vous utilisez
Créer une nouvelle clé API
-
Cliquez sur + New API Key.
-
Indiquez le nom de votre clé d'accès à l'API et sélectionnez le champ d'application. Cliquez sur Créer.
-
Le système génère pour vous la clé d'accès à l'API et la clé secrète.
-
La clé secrète ne peut être révélée qu'une seule fois. Sauvegardez-le et conservez-le dans un endroit sûr. Si vous ne l'enregistrez pas maintenant, vous ne pourrez pas le récupérer à l'avenir.
Vous avez deux possibilités pour accéder à la clé secrète :
-
Révéler la clé secrète. Cliquez sur Révéler. Indiquez le mot de passe de votre compte et confirmez. La clé secrète est révélée et vous pouvez la copier.
-
Télécharger la clé secrète dans un fichier CSV. Cliquez sur Télécharger le CSV.
-
-
Confirmez que vous avez enregistré la clé secrète en cochant la case. Cliquez sur Fermer.
Votre nouvelle clé API est maintenant active et apparaît dans la liste des clés API. Vous pouvez l'utiliser pour authentifier vos demandes auprès de l'API sélectionnée. Voir la structure de la demande d'authentification ci-dessous.
<Authentication>
<AccessKey>{accessKey}</AccessKey>
<SecretKey>{secretKey}</SecretKey>
</Authentication>
Supprimer la clé API
Si vous souhaitez supprimer la clé API à tout moment, il vous suffit de cliquer sur le menu à trois points situé à côté de la clé API que vous souhaitez supprimer et de cliquer sur Supprimer la clé API. Notez que le mot de passe de votre compte est nécessaire pour confirmer cette action. Cela invalidera toutes les futures demandes adressées à l'API à l'aide de cette combinaison de clé API et de clé secrète.
Migrer vers l'authentification par clé API
Pour rendre votre connexion plus sûre, nous vous recommandons de passer à l'authentification par clé API. Cette procédure unique permet non seulement de réduire le risque d'accès non autorisé, en désactivant l'utilisation des informations d'identification de votre compte pour les demandes d'API, mais aussi de renforcer la sécurité globale en utilisant des clés dédiées et révocables pour l'authentification.
Avant de commencer
-
Assurez-vous d'avoir créé des clés API pour tous les produits que vous utilisez avant de procéder à la migration. Vous devez avoir créé au moins une clé et un secret API.
-
Assurez-vous que votre connexion API est configurée pour utiliser l'authentification par clé API. Voir la structure de la demande d'authentification ci-dessous :
Copier<Authentication>
<AccessKey>{accessKey}</AccessKey>
<SecretKey>{secretKey}</SecretKey>
</Authentication>
Comment migrer
-
Générez votre première clé API et votre premier secret - voir Ajouter une nouvelle clé API.
-
Vous verrez une notification concernant une possibilité de migration. Cliquez sur Migrer.
-
Cochez la case pour confirmer que votre connexion API a été configurée pour utiliser l'authentification par clé API. Cliquez sur Migrer.
-
Une notification s'affiche pour indiquer que la migration a réussi. Cliquez Je comprends.
Une fois la migration terminée, vous verrez une notification indiquant que le compte est désormais sécurisé. Vous pouvez également consulter les détails de l'utilisation des clés API, tels que la date de création des clés et la dernière fois qu'elles ont été utilisées.
