Synchronisation des mots de passe des applications

Okta utilise des API standard afin de synchroniser les mots de passe sur des applications cloud et en local lorsque cela est possible. Lorsque les API sont utilisées pour la synchronisation de mots de passe, l'agent d'Active Directory Password Sync d'Okta n'est pas obligatoire.

Avec les intégrations préconstruites d'Okta, vous profitez de la fonctionnalité API de synchronisation de mots de passe, sans avoir besoin d'écrire des scripts personnalisés. Si vous avez une intégration personnalisée ou utilisez un agent local, vous aurez peut-être besoin des services professionnels d'Okta pour vous aider à mettre en place la synchronisation de mots de passe.

Lorsque l'option Synchroniser un mot de passe Okta vers une application Okta est activée, le comportement par défaut consiste à synchroniser le mot de passe existant. Le mot de passe Okta est le mot de passe utiliser pour s'authentifier à Okta.

Si vous avez configuré Okta de façon à utiliser l'authentification déléguée avec Active Directory (AD) ou LDAP, le mot de passe utilisé pour se connecter à Okta est le mot de passe Active Directory ou LDAP. Okta utilise l'API d'applications afin de synchroniser le mot de passe Active Directory ou LDAP avec l'application. Le mot de passe est enregistré comme mot de passe de l'application.

Si vous n'utilisez pas l'authentification déléguée, le mot de passe utilisé pour accéder à Okta est stocké et géré dans Okta. Okta utilise l'API d'applications afin de synchroniser le mot de passe avec l'application.

Les événements suivants activent la synchronisation de mots de passe :

  • Réinitialisation d'un mot de passe issu d'Okta
  • Connexion à Okta
  • Connexion à Okta avec authentification déléguée

Synchronisation de nouveau mot de passe aléatoire

Avec certaines applications telles que Google Suite, Salesforce et Atlassian JIRA, vous pouvez utiliser Okta pour créer et affecter des mots de passe lors du premier accès de l'utilisateur à l'application. L'agent de synchronisation de mots de passe n'est pas obligatoire pour cette fonctionnalité.

Les événements suivants activent la synchronisation de nouveau mot de passe aléatoire :

  • Affectation d'application basée sur les groupes ou déclenchée par une importation
  • Affectation manuelle d'un utilisateur à l'application

Un mot de passe généré par Okta est constitué de 16 caractères, incluant des chiffres et des lettres minuscules ou majuscules aléatoires. Pour garantir la synchronisation entre Okta et l'application, le mot de passe généré aléatoirement par Okta doit être conforme aux exigences de complexité minimaux de l'application pour les mots de passe. Si le mot de passe généré de manière aléatoire par Okta n'est pas conforme aux critères minimaux de la politique de l'application, une erreur s'affiche sur la page Tâches Okta (DashboardTâches). Dans de tels cas, Okta peut, sur demande, modifier sa politique de mots de passe pour une application de façon à ce qu'elle réponde aux exigences minimales de la politique de ladite application.

Synchronisation de cycle de mot de passe

Avec cette option, un nouveau mot de passe aléatoire est créé dès que l'utilisateur modifie son mot de passe Okta. Le mot de passe synchronisé n'est ni le mot de passe Okta, ni un mot de passe de répertoire. C'est un nouveau mot de passe aléatoire, activé à la suite d'une réinitialisation de mot de passe Okta. Le mot de passe est généré, stocké sur Okta, puis renvoyé vers l'application, grâce à l'API d'applications. L'agent de synchronisation de mots de passe n'est pas obligatoire pour cette fonctionnalité.

Les événements suivants activent un cycle de mots de passe :

  • Affectation d'application basée sur les groupes ou déclenchée par une importation
  • Modification de mot de passe initiée par un administrateur (Okta ou authentification déléguée)
  • Modification ou récupération de mot de passe initiée par un utilisateur (Okta ou authentification déléguée)

Synchronisation de mots de passe sur mobile

Avec la synchronisation Okta sur mobile, le mot de passe est synchronisé sur l'application du client sur l'appareil mobile. Cette fonctionnalité n'est disponible que pour les clients e-mail natifs iOS et Android configurés avec Okta Mobility Management (OMM). L'agent de synchronisation de mots de passe n'est pas obligatoire pour cette fonctionnalité.

Les événements suivants activent la synchronisation de mots de passe Okta sur mobile :

  • Modification ou récupération de mot de passe initiée par un utilisateur (Okta ou authentification déléguée)
  • Modification de mot de passe initiée par un administrateur (Okta ou authentification déléguée)
  • Affectation d'application basée sur les groupes ou déclenchée par une importation

Pour les workflows sur mobile, la réinitialisation de mots de passe AD de l'agent Active Directory Password Sync ne nécessite pas que la synchronisation de mots de passe soit activée. Les notifications de réinitialisation de mots de passe déclenchent la distribution d'une configuration e-mail Exchange ActiveSync (EAS) mise à jour vers les appareils correspondants inscrits dans Okta Mobility Management (OMM). Dans le cas où la synchronisation de mots de passe n'est activée pour aucune application, le mot de passe AD crypté est supprimé d'Okta une fois qu'il a été transféré vers l'appareil. Pour les appareils inscrits sur Okta Mobility Management (OMM), il n'est pas nécessaire d'activer la synchronisation de mots de passe.

Synchroniser les mots de passe Okta ou des mots de passe aléatoires sur des applications prenant en charge l'approvisionnement

Renvoyez un mot de passe Okta ou un mot de passe aléatoire sur des applications prenant en charge l'approvisionnement durant la configuration initiale d'Okta ou lorsque le mot de passe Okta de l'utilisateur change.

Ne s'applique pas aux utilisateurs fédérés (par exemple, les utilisateurs d'un IdP externe dans l'org source ou les utilisateurs approvisionnés par le biais du JIT).

  1. Dans Admin Console, accédez à ApplicationsApplications.
  2. Cliquez sur une application, puis sur l'onglet Approvisionnement.
  3. Dans la liste des Paramètres, cliquez sur Dans l'application.
  4. Cliquez sur Modifier.
  5. Faites défiler jusqu'à la section Synchroniser un mot de passe, puis cliquez sur Activer.
  6. Configurez les paramètres suivants :
    • Synchroniser un mot de passe généré de manière aléatoire : sélectionnez cette option afin de transférer un mot de passe aléatoire unique à chaque utilisateur d'une application lors de la configuration. Cela vise à empêcher que le vol d'un seul mot de passe Okta ne constitue un danger pour l'ensemble d'une organisation. Les utilisateurs reçoivent une notification sur leur page d'accueil leur indiquant qu'un mot de passe aléatoire a été généré.

      Remarque : si vous sélectionnez cette option, vous devrez activer la fonctionnalité Révéler le mot de passe afin d'autoriser les utilisateurs finaux de voir le mot de passe : (ApplicationsApplicationsAuthentificationParamètresDétails des identifiants).

    • Synchroniser un mot de passe Okta : cette option renvoie le mot de passe Okta des utilisateurs vers l'ensemble des utilisateurs de l'application lors de la configuration initiale.
    • Cycle de mot de passe : sélectionnez cette option afin de générer un mot de passe aléatoire dès lors que le mot de passe Okta d'un utilisateur change, et de vous assurer que tout changement de mot de passe Okta pour un utilisateur génèrera et synchronisera un nouveau mot de passe aléatoire sur l'application.

      Remarque : les utilisateurs pourraient avoir besoin de mettre à jour leur mot de passe sur n'importe quel appareil sur lequel l'application est installée.

    • Tout réinitialiser les mots de passe de l'application : sélectionnez cette option pour réinitialiser les mots de passe de l'ensemble des utilisateurs d'une application.
  7. Cliquez sur Enregistrer.