====== Double-authentification dans Parcoursup avec le générateur de codes TOTP de KeePassXC ======

Pour entrer dans **Parcoursup** les enseignants membres des commissions d'examen des vœux et les personnels des scolarités doivent se connecter avec une double authentification. Une première authentification avec identifiant et mot de passe, et une seconde avec un code temporaire **TOTP** (//Time based One Time Password//) valide quelques secondes. Pour générer ce code TOTP, le plus simple est d'utiliser une application sur smartphone (chercher //OTP// ou //2FA// dans votre magasin d'application pour en trouver une comme par exemple [[https://f-droid.org/en/packages/org.fedorahosted.freeotp/|FreeOTP]]), mais ceux qui n'ont pas de smartphone professionnel peuvent utiliser le logiciel gestionnaire de mot de passe **KeePassXC**. La procédure est un peu complexe mais elle fonctionne.

===== 1. Identifiants de la première authentification =====

Le service //Offre de Formation et de la Scolarité// vous a remis vos identifiants Parcoursup. Pour la démo ce sera :
  * URL = ''https://gestion.parcoursup.fr''
  * Identification = ''identifiant1''
  * Mot de passe = ''<nowiki>************</nowiki>''
  * Adresse mail = ''adresse.mail@univ-nantes.fr''

===== 2. Se connecter à Parcoursup et récupérer un QR Code =====
  * Se connecter à [[https://gestion.parcoursup.fr|Parcoursup]] avec les identifiants décrits plus haut.
{{:personnels:securite:psup.png?direct&400|}}

  * Un QR Code s'affiche. Faire un clic-droit sur le QR Code pour enregistrer le fichier image ''*.png'' sur l'ordinateur (sur le bureau ou dans //Téléchargement// par exemple).
{{:personnels:securite:qrcode-psup.png?direct&800|}}

<note>Si cette première authentification est refusée ou si le QR Code n'est pas affiché, contacter l'administrateur Parcoursup de Nantes Université au [[https://www.univ-nantes.fr/universite/fonctionnement/service-de-loffre-de-formation-et-de-la-scolarite|Service de l'Offre de Formation et de la Scolarité]] dont le nom est rappelé en bas de cette page de connexion Parcoursup.</note>

===== 3. Décoder le QR Code pour en lire le contenu =====
Pour décoder le texte inclus dans le QR Code vous pouvez utiliser l'application intégrée à votre smartphone ou utiliser un service en ligne. Nous vous recommandons ce site web : https://nimiq.github.io/qr-scanner/demo

Scanner (si application de smartphone) ou déposer (si site web) l'image du QR Code enregistrée à l'étape précédente et cela génère un texte. Enregistrer ce texte dans un fichier texte.
Ce texte est par exemple sous la forme suivante si on reprend les informations de première authentification décrite plus haut :
<code>otpauth://totp/Parcoursup%20identifiant1%3Aadresse.mail%40univ-nantes.fr?secret=CLESECRETEENTRENTEDEUXCARACTERES&issuer=Parcoursup%20identifiant1</code>

{{:personnels:securite:qr-scanner.png?direct&400|}}

===== 4. Installer KeePassXC =====
{{:personnels:securite:keepassxc.png?nolink }}**KeePassXC** est un logiciel libre de gestion de mots de passe. Il est présent sur le Centre Logiciel pour les poste Windows dans le domaine AD et sur votre gestionnaire de logiciel pour la plupart des distributions Linux. Pour macOS, Windows hors AD ou autres Linux on peut le télécharger sur le site de l'éditeur https://keepassxc.org.

<note>Si vous utilisez déjà KeePassXC sur votre ordinateur, passer directement à l'étape 6.</note>

===== 5. Créer une base de données de mots de passe dans KeePassXC =====
À la première utilisation de KeePassXC, créer sa base de données de mots de passes

  * Créer une base de données avec un nom (par exemple //TOTP//), éventuellement une description et ''Continuer''
{{:personnels:securite:keepassxc1.png?direct&400|}}

  * Laisser les options par défaut et ''Continuer''
{{:personnels:securite:keepassxc2.png?direct&400|}}

  * Choisir un mot de passe suffisamment fort mais dont vous êtes le seul à connaître et ''Terminer''
{{:personnels:securite:keepassxc3.png?direct&400|}}

  * Enregistrer cette base de données dans un fichier ''*.kdbx'' (par exemple ''totp.kbdx'') enregistré sur l'ordinateur. Choisir par exemple un dossier **UNCloud** synchronisé en local pour y avoir accès même si vous n'avez pas votre propre ordinateur.
 
Ce fichier est crypté par le mot de passe que vous venez de définir. Si vous oubliez ce mot de passe, la seule solution est de supprimer le fichier *.kdbx et de recommencer cette procédure.

<note tip>Consulter [[https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe|les conseils de la CNIL pour se choisir un bon mot de passe]]</note>

===== 6. Créer une entrée dans cette base de données de mots de passe =====
Une fois KeePassXC initialisé, on peut créer une nouvelle entrée (clic-droit ou menu ''Entrées > Nouvelle entrée'' ou ''[Ctrl]+[N]'') avec les données issues du QR Code décodé :

  * Titre = ''Parcoursup 2024'' //(par exemple)//
  * Nom d'utilisateur = ''Parcoursup identifiant1'' //(soit ''Parcoursup%20identifiant1'' du QR Code décodé mais en remplaçant ''%20'' par un espace, à adapter à votre cas)//
  * Mot de passe = //(laisser vide)//
  * URL = ''https://gestion.parcoursup.fr'' //(facultatif mais conseillé)//
  * Notes = ''Générateur code TOTP de double-authentification'' //(facultatif)//

{{:personnels:securite:keepassxc4.png?direct&400|}}

===== 7. Configuration du TOTP sur cette entrée =====
Configurer le TOTP sur cette entrée : clic-droit sur l'entrée ''Parcoursup 2024'' > ''TOTP'' > ''Configurer TOTP''

{{:personnels:securite:keepassxc5.png?direct&400|}}

  * Clé secrète = ''CLESECRETEENTRENTEDEUXCARACTERES'' issue du QR Code décodé //(à adapter à votre cas)//
  * Laisser les autres paramètres par défaut et valider avec le bouton ''OK''

{{:personnels:securite:keepassxc6.png?direct&200|}}

===== 8. Retourner sur le site web de Parcoursup =====
Revenir sur le site web [[https://gestion.parcoursup.fr|Parcoursup]] et s'y reconnecter car la session a dû expirer. Si le QR Code s'affiche toujours, cliquer sur le bouton ''J'ai scanné mon QR Code''. Il ne s'affiche alors plus et il est remplacé par un champ de double authentification.

===== 9. Utiliser le TOTP pour la seconde authentification =====
Faire un double-clic sur le premier icône en forme de montre de **KeePassXC** **(1)** pour copier le code TOTP ou un simple-clic sur le second **(2)** pour l'afficher. Vous avez alors quelques secondes pour le coller dans le champ de double authentification sur la page de connexion de **Parcoursup** **(3)** et ''Confirmer''. Le code TOTP est automatiquement regénéré pour recommencer si vous n'avez pas été assez rapide //(''368049'' dans cet exemple)//.

{{:personnels:securite:keepassxc7.png?direct&400|}}
{{:personnels:securite:totp-psup.png?direct&400|}}

  * Une fois entré dans le site web de Parcoursup, vous n'avez plus besoin de KeePassXC. Vous pouvez le fermer.
  * Les fichiers QR Code sous forme d'image ou de texte ne sont plus utiles, ils peuvent être supprimés.

===== Les prochaines utilisations de la double-authentification =====
Maintenant que KeePassXC est configuré avec vos identifiants Parcoursup et son générateur de code TOTP, les seules étapes pour pour s'y connecter les fois suivantes sont :

  * Lancer **KeePassXC** et ouvrir la base de données de mots de passe ''TOTP'' en saisissant son mot de passe
  * Reprendre les deux dernières étapes (8 et 9) décrites plus haut
  *