Authentification

L'authentification établit qui vous êtes avant que la plateforme ne décide de ce que vous pouvez faire. Mirox combine une connexion sécurisée, une protection à deux facteurs facultative, une visibilité complète sur les sessions et des jetons d'API de machine à machine, de sorte que vous seul — et les intégrations que vous autorisez explicitement — puissiez accéder à vos données.

Comment vous vous connectez

Vous vous connectez avec votre nom d'utilisateur ou votre adresse e-mail et votre mot de passe. Une connexion réussie ouvre une session qui vous maintient connecté dans toute l'application web sans avoir à ressaisir vos identifiants à chaque requête.

  • Inscription sur invitation uniquement — En production, les nouveaux comptes sont créés via une invitation. Si vous n'avez pas d'invitation, vous pouvez soumettre une demande d'accès et les exploitants de l'organisation sont avertis afin de vous inviter.
  • Vérification de l'e-mail — Les nouveaux comptes confirment leur adresse via un lien de vérification avant d'être activés. Les comptes créés à partir d'une invitation sont pré-approuvés.
  • Réinitialisation du mot de passe — Vous pouvez demander un lien de réinitialisation à tout moment. La finalisation d'une réinitialisation déconnecte toutes les sessions actives et vous en informe par e-mail.
  • Alertes de connexion — Vous recevez un e-mail lorsqu'une connexion provient d'un nouvel appareil ou d'un nouvel emplacement, ainsi qu'en cas d'échec d'une tentative de connexion.

Info

Mirox ne révèle jamais à un tiers si une adresse e-mail correspond à un compte. Les réponses à la réinitialisation de mot de passe et aux demandes d'accès sont identiques, que l'adresse existe ou non, de sorte que la surface de connexion ne divulgue aucune information de compte.

Authentification à deux facteurs

L'authentification à deux facteurs (2FA) ajoute une seconde preuve d'identité par-dessus votre mot de passe à l'aide d'un mot de passe à usage unique basé sur le temps (TOTP) issu d'une application d'authentification.

  • Configuration — Lancez la configuration pour recevoir un QR code et un secret à scanner dans votre application d'authentification. La 2FA ne devient active qu'après confirmation d'un premier code, de sorte qu'une application mal configurée ne peut jamais vous bloquer l'accès.
  • Application à la connexion — Lorsque la 2FA est active, la connexion demande un code à 6 chiffres en cours de validité avant d'accorder la session. La fenêtre de validité du code tolère les intervalles adjacents, de sorte qu'un code qui change en cours de saisie reste valide.
  • Désactivation / vérification — Vous pouvez désactiver la 2FA avec un code valide, ou lancer une vérification « contrôler mon code » sans modification depuis votre profil pour confirmer que votre application est bien synchronisée.

Code de secours

Lorsque vous activez la 2FA, vous recevez un seul code de secours de 8 caractères. Utilisez-le si vous perdez l'accès à votre application d'authentification.

  • Le code de secours est à usage unique. Dès que vous l'utilisez, un nouveau code de secours est émis automatiquement — notez le nouveau.
  • Vous pouvez régénérer le code de secours à tout moment (avec un code 2FA valide), ce qui invalide le précédent.
  • Si vous vous connectez avec le code de secours via le flux de récupération dédié, la 2FA est également désactivée afin que vous puissiez la rétablir proprement.

Avertissement

Vous ne détenez jamais qu'un seul code de secours à la fois — il ne s'agit pas d'une liste imprimable de dix codes. Conservez le code actuel en lieu sûr et mettez votre enregistrement à jour chaque fois qu'un nouveau code est émis.

Gestion des sessions

Chaque appareil à partir duquel vous vous connectez crée une session, et vous gardez le contrôle de toutes.

  • Voir vos sessions — Consultez chaque session active avec son emplacement (ville / pays), son navigateur, son système d'exploitation, et identifiez celle qui correspond à votre session actuelle.
  • Déconnexion à distance — Révoquez n'importe quelle autre session individuellement, ou révoquez toutes les autres sessions d'un coup tout en conservant la vôtre. Les sessions révoquées cessent de fonctionner immédiatement.
  • Identité en libre-service — Modifiez votre mot de passe, votre nom d'utilisateur ou votre adresse e-mail depuis votre profil. Modifier votre mot de passe déconnecte vos autres sessions ; modifier votre adresse e-mail maintient l'ancienne adresse active jusqu'à la vérification de la nouvelle.

Jetons d'API

Pour les intégrations et les scripts qui communiquent avec Mirox sans navigateur, vous créez des jetons d'API — des identifiants à longue durée de vie restreints à un groupe d'autorisations plutôt qu'à l'intégralité de votre compte.

  • Accès restreint — Chaque jeton est lié à un groupe d'autorisations afin qu'il ne puisse faire que ce que ce groupe permet, jamais plus que votre propre accès.
  • Rotation — Effectuez la rotation d'un jeton pour émettre un nouveau secret et retirer instantanément l'ancien, sans avoir à supprimer puis recréer l'intégration.
  • Visibilité — Listez vos jetons pour voir leur groupe d'autorisations, leurs dates de création et d'expiration, ainsi que leur dernier lieu d'utilisation.

La création ou la rotation d'un jeton nécessite une session interactive (connectée) — un jeton ne peut jamais servir à créer ou faire la rotation d'un autre jeton. Consultez Jetons d'API pour connaître les groupes d'autorisations disponibles, les limites et les détails d'utilisation.

Limitation de débit

Pour préserver la stabilité de la plateforme et protéger les comptes contre les tentatives de force brute, les endpoints de connexion et autres endpoints sensibles (connexion, inscription, demandes d'accès, réinitialisation de mot de passe et vérification de session) sont soumis à une limitation de débit par utilisateur et par adresse IP publique.

Avertissement

Lorsque vous dépassez la limite, la requête renvoie une réponse HTTP 429 (Too Many Requests) et la source est temporairement mise en pause. Intégrez une temporisation exponentielle dans toute intégration automatisée afin qu'une rafale de requêtes ne déclenche pas un blocage.

Accès administratif

Dans de rares situations de support, un administrateur de la plateforme Mirox peut accéder temporairement à votre compte pour enquêter sur un problème en votre nom.

  • Cela nécessite un motif consigné et est enregistré dans un journal d'audit dédié.
  • Seuls les comptes utilisateurs standard peuvent être consultés de cette manière — les administrateurs ne peuvent pas le faire entre eux.
  • L'accès est de courte durée et prend fin automatiquement ; tant qu'il est actif, une bannière en rend l'accès visible.

Travailler avec le système d'autorisations

L'authentification répond à la question qui êtes-vous ; le système d'autorisations répond à la question à quoi pouvez-vous accéder. Les deux fonctionnent ensemble à chaque requête :

  1. L'authentification établit votre identité à partir de votre session ou de votre jeton d'API.
  2. Le système d'autorisations évalue ce que cette identité est autorisée à faire.
  3. Chaque opération est vérifiée par rapport à vos autorisations avant son exécution.

Cette séparation rend le contrôle d'accès flexible sans affaiblir la garantie que vous ne voyez jamais que vos propres ressources.

Fonctionnalités associées

  • Système d'autorisations — comment les rôles et l'accès aux ressources sont évalués une fois que vous êtes connecté
  • Jetons d'API — des identifiants restreints et renouvelables pour l'accès de machine à machine
  • Journal d'audit — l'enregistrement immuable des accès à vos installations et appareils
  • Invitations — comment les nouveaux utilisateurs et organisations sont intégrés
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH