> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/cloud/fr/knowledge-base/how-to-articles/configure-a-break-glass-account-in-devolutions-cloud.md).

# Configurer un compte de secours dans Devolutions Cloud

Un compte de secours dans Devolutions Cloud est un compte administrateur dédié, utilisé uniquement lorsque les chemins de connexion normaux sont indisponibles, par exemple lors d'une panne SSO, d'une mauvaise configuration du fournisseur d'identité, d'une erreur de provisionnement ou d'un incident de sécurité.

Cet article décrit les situations dans lesquelles un compte de secours est requis dans Devolutions Cloud et explique comment en configurer un pour être prêt en cas de besoin.

### Panne SSO : Microsoft Entra ID ou Okta indisponible

Utilisez le compte de secours pour vous connecter lorsque le fournisseur d'identité est indisponible, à condition que Force SSO ne soit pas activé. Si Force SSO est activé, utilisez l'identité d'application et la [procédure PowerShell](https://docs.devolutions.net/fr/powershell/devolutions-cloud-powershell/disable-force-sso-on-all-users/) pour désactiver Force SSO en premier.

### Une mauvaise configuration SSO bloque tout le monde

Les exemples incluent une URL de rappel incorrecte, un identifiant client ou un secret incorrect, une vérification de domaine défaillante, une configuration Okta ou Entra invalide, ou un secret expiré. Le compte de secours permet à un administrateur de se reconnecter à Devolutions Cloud pour modifier, supprimer ou corriger les paramètres SSO, ou d'utiliser la procédure PowerShell documentée si Force SSO bloque la connexion normale.

### Force SSO activé trop tôt ou lors d'une migration échouée

Force SSO a été activé trop tôt ou lors d'une migration échouée. Il s'agit du cas le plus risqué. Un compte Devolutions standard ne suffit pas si Force SSO bloque toutes les connexions non SSO. Le mécanisme de récupération documenté est une identité d'application avec des droits de configuration système, combinée au script qui définit `ForceSSOLogin = $false`.

### Une erreur SCIM/provisionnement supprime ou désactive les mauvais utilisateurs

Si le provisionnement ou le déprovisionnement depuis le fournisseur d'identité supprime des administrateurs ou brise l'affectation des groupes, un compte de secours hors de la portée du provisionnement peut restaurer les utilisateurs et les groupes. Le provisionnement automatise la gestion des utilisateurs et des groupes. Les utilisateurs qui ne sont pas gérés par le fournisseur d'authentification ne peuvent être ajoutés que lorsque Force SSO est désactivé pour tous les utilisateurs.

### Tous les administrateurs sont indisponibles

Les exemples incluent des administrateurs qui ont quitté l'entreprise, sont en vacances, ont été désactivés dans le fournisseur d'identité ou ont perdu l'accès. La propriété de Devolutions Cloud peut être transférée à un autre administrateur. Un seul propriétaire est autorisé, et seuls les administrateurs peuvent être désignés comme propriétaire.

### Verrouillage ou départ du propriétaire de Devolutions Cloud

Le propriétaire a un statut particulier et ne peut pas être supprimé. Seuls les administrateurs actuels peuvent être définis comme propriétaires, et il est recommandé de limiter le nombre de comptes administrateurs. Un administrateur de secours offre un moyen contrôlé de récupérer la gouvernance sans sur-provisionner les administrateurs du quotidien.

### Les administrateurs perdent le MFA ou leur second facteur

Le compte de secours doit disposer d'un MFA indépendant et de codes de récupération stockés. Le compte Devolutions prend en charge la vérification en deux étapes, des méthodes de vérification alternatives et des codes de récupération de connexion. Les codes de récupération sont explicitement décrits comme méthode de dernier recours pour accéder au compte.

### Compromission du fournisseur d'identité ou échec de l'accès conditionnel

Lors d'un incident d'identité, vous pourriez avoir besoin d'un accès à Devolutions Cloud qui ne dépend pas du fournisseur d'identité compromis. Cela vous permet de désactiver le SSO, de passer en revue les utilisateurs, de supprimer les administrateurs compromis, de faire tourner les secrets partagés, de consulter les journaux et de préserver la continuité des activités. Il s'agit du modèle classique de compte de secours ou d'accès d'urgence : accéder à un système sécurisé en situation d'urgence lorsque l'accès privilégié est autrement indisponible.

### Problème SSO lié à la vérification de domaine ou au DNS

La vérification de domaine SSO est obligatoire et dépend des enregistrements TXT DNS. Si le DNS ou la validation de domaine est défaillant, un administrateur de secours peut accéder aux paramètres d'authentification et réparer la configuration.

### Clé de récupération de Devolutions Cloud

Conservez la [clé de récupération](https://docs.devolutions.net/fr/cloud/kb/how-to-articles/use-the-recovery-kit-with-devolutions-cloud) de Devolutions Cloud en lieu sûr. Une clé de récupération temporaire est envoyée lors de la création de Devolutions Cloud. Le propriétaire est ensuite invité, après 30 jours, à régénérer et télécharger une clé sans expiration, et les propriétaires de Devolutions Cloud sont également invités à valider la clé après six mois.

### Gestion d'urgence des utilisateurs, groupes, accès et autorisations de coffre

Si un incident de sécurité nécessite de désactiver des utilisateurs, de modifier le statut d'administrateur, de supprimer l'accès à un coffre ou de restaurer l'accès pour une équipe critique, le compte de secours offre un chemin d'administration contrôlé. Dans la gestion des utilisateurs de Devolutions Cloud, les administrateurs peuvent modifier les droits des utilisateurs, affecter des groupes d'utilisateurs, activer ou désactiver des utilisateurs et définir le statut d'administrateur.

### Compte de secours Devolutions Cloud et compte PAM firecall

Ne confondez pas un compte de secours Devolutions Cloud avec un compte PAM de secours ou firecall. Le module PAM de Devolutions Cloud gère les comptes privilégiés et prend en charge l'approbation d'extraction, la réinitialisation automatique des mots de passe, l'injection sécurisée de mots de passe, les rapports d'administration et les journaux. Ce sont les contrôles appropriés pour l'accès d'urgence aux serveurs, à Active Directory, aux comptes Entra ou à d'autres systèmes cibles.

Un compte de secours est également utile comme filet de sécurité pour les tests de déploiement SSO, les fenêtres de migration SSO ou SCIM, la validation des procédures de transfert de propriété, la vérification du stockage de la clé de récupération, le test de la documentation de récupération de compte et la démonstration du bon fonctionnement de l'accès d'urgence lors des audits.

{% hint style="info" %}
Un compte de secours ne doit pas être utilisé pour l'administration quotidienne.
{% endhint %}

### Configuration recommandée pour Devolutions Cloud

Utilisez un compte dédié tel que `cloud-breakglass@company.tld` plutôt qu'un compte d'employé nominatif. Faites-en un administrateur Devolutions Cloud, mais évitez de lui accorder un accès étendu aux coffres ou au contenu, sauf si le plan d'intervention d'urgence l'exige. Ne le désignez pas comme propriétaire par défaut, sauf si votre modèle de gouvernance nécessite un recours au niveau propriétaire. S'il doit pouvoir être promu propriétaire, documentez qui peut effectuer cette promotion et dans quelles circonstances.

Configurez le MFA avec au moins deux chemins de récupération indépendants, stockez les codes de récupération de connexion hors ligne, conservez la clé de récupération de Devolutions Cloud en lieu sûr, excluez le compte du déprovisionnement SCIM dans la mesure du possible et testez la connexion chaque trimestre. Si Force SSO est activé, créez également l'identité d'application et stockez la clé et le secret d'application sous double contrôle, afin que Force SSO puisse être désactivé en cas de verrouillage.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.devolutions.net/cloud/fr/knowledge-base/how-to-articles/configure-a-break-glass-account-in-devolutions-cloud.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.