Applications RADIUS dans Okta
Okta est en mesure de distinguer plusieurs applications prises en charge par RADIUS et de les soutenir simultanément en paramétrant une application RADIUS Okta pour chaque configuration. Par ailleurs, l'application RADIUS Okta prend en charge la création de politiques et l'affectation de l'application aux groupes.
Les applications prises en charge par RADIUS sont faciles à gérer. En effet, les administrateurs peuvent contrôler la configuration de l'ensemble de ces applications et infrastructures depuis la console administrateur Okta.
Facteurs pris en charge
La taille du message de vérification peut être trop importante pour l'invite RADIUS si vous laissez les utilisateurs inscrire trop de facteurs. Okta vous recommande de ne pas inscrire plus de huit facteurs à la fois.
Okta prend en charge les facteurs suivants pour les applications RADIUS :
|
Facteur de MFA |
Protocole d'authentification par mot de passe (PAP) | Protocole d'authentification extensible - Carte à jeton générique (EAP-GTC) | Protocole d'authentification extensible - Sécurité de la couche transport tunnelisée (EAP-TTLS)* |
|---|---|---|---|
| Authentification TOTP (Mot de passe à usage unique et à durée limitée) personnalisée | Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
| Duo (Push, SMS et code d'accès uniquement) | Pris(e) en charge | Pris(e) en charge | Code d'accès Duo seulement. |
|
Pris(e) en charge |
Pris(e) en charge |
Pris en charge lorsque la chaîne « E-MAIL » est initialement envoyée. |
|
| Pris(e) en charge | Pris(e) en charge | Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
|
|
Okta Verify (TOTP [Mot de passe à usage unique et à durée limitée] et PUSH) |
Pris(e) en charge | Pris(e) en charge | Pris en charge (dès lors que le challenge est évité). Par exemple, MFA uniquement ou « Mot de passe, MFA » pour TOTP (Mot de passe à usage unique et à durée limitée). Les notifications push peuvent fonctionner avec la MFA principale puisque que la vérification push est envoyée hors bande. |
|
Non pris(e) en charge |
Non pris(e) en charge |
Non pris(e) en charge |
|
|
Jeton RSA/MFA locale |
Pris(e) en charge |
Pris(e) en charge |
Pris(e) en charge (dès lors que le défi est évité). |
| Pris(e) en charge (mot de passe et MFA uniquement) | Pris(e) en charge (mot de passe + MFA uniquement). |
Non pris(e) en charge | |
| Authentification par SMS | Pris(e) en charge | Pris(e) en charge |
Pris en charge lorsque la chaîne « SMS » est envoyée. Reportez-vous à la note associée. |
| Symantec VIP | Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code secret ». |
| Pris(e) en charge | Pris(e) en charge | Pris en charge lorsque la chaîne « CALL » est envoyée. Reportez-vous à la note associée. |
|
| Pris(e) en charge | Pris(e) en charge | Pris(e) en charge (dès lors que le défi est évité). Par exemple, MFA uniquement ou « Mot de passe, code d'accès ». |
* RADIUS prend en charge trois méthodes d'authentification :
- Mot de passe + MFA : l'authentification principale se fait à l'aide d'un mot de passe, puis l'utilisateur est invité à choisir des facteurs pour terminer l'authentification.
- MFA uniquement : plutôt qu'un mot de passe, l'utilisateur saisit un code d'accès à usage unique (un OTP) ou bien « E- MAIL», « SMS », « APPEL» ou « PUSH » (maj/min acceptées).
- Mot de passe, code d'accès : le mot de passe est saisi immédiatement, suivi par un code d'accès dans une requête.
Il doit s'agir de la même requête, par exemple : Abcd1234,879890 ou Abcd1234,SmS.
Le protocole prend en charge les méthodes d'authentification suivantes :
| Protocole | Prend en charge |
|---|---|
| PAP | Mot de passe et authentification multifacteur, authentification multifacteur, « Mot de passe et code d'accès ». |
| EAP-TTLS | Authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
| EAP-GTC | Mot de passe et authentification multifacteur, authentification multifacteur uniquement, « Mot de passe et code d'accès ». |
Les utilisateurs doivent envoyer la chaîne spécifiée EMAIL/SMS/CALL, qui renvoie initialement un échec. Cela entraîne la génération d'un OTP fourni à l'aide de la méthode spécifiée. L'OTP fourni pourra alors être utilisé dans le cadre de l'authentification.
EAP-TTLS ne prend pas en charge l'inscription
L'authentification échouera de manière inattendue si EAP-TTLS est activé, si Okta Verify ou Téléphone est indiqué comme politique d'inscription requise et si l'utilisateur n'est pas inscrit sur ce facteur.
U2F Security et Windows Hello ne sont pas compatible avec les implementations activées avec RADIUS. Consultez Applications RADIUS dans Okta et À propos de l'authentification multifacteur.
Authentification sans mot de passe
Les mots de passe constituent le mécanisme d'authentification principal dans le cadre de l'authentification RADIUS. L'authentification RADIUS traditionnelle ne peut pas être effectuée avec des utilisateurs sans mot de passe. RADIUS peut utiliser d'autres facteurs pour l'authentification lorsque la propriété de configuration de l'application Okta réalise l'authentification principale n'est pas cochée. Pour en savoir plus, voir 2FA uniquement (Mode sans mot de passe) dans Applications RADIUS dans Okta.
Fonctionnalités prises en charge et limites
Fonctionnalités
-
Assistance pour plusieurs applications et infrastructures compatibles avec RADIUS
Chaque composant d'application et d'infrastructure (par exemple, les VPN) peut être configuré de manière unique en utilisant le même agent RADIUS Okta. L'agent peut écouter plusieurs ports distincts pour des configurations RADIUS séparées. Par exemple, alors que Cisco AnyConnect utilise le port UDP 1812 de RADIUS, une autre application locale peut utiliser le port UDP 1813 de RADIUS.
-
Configurations propres aux groupes et aux utilisateurs
Les administrateurs peuvent limiter l'accès aux applications et à l'infrastructure RADIUS à certains utilisateurs et groupes.
-
Transférer la propriété de groupe aux applications RADIUS
Okta transmet une liste des groupes d'un utilisateur vers une infrastructure ou application RADIUS. Cela permet aux administrateurs de prendre en charge des autorisations plus affinées, avec différents niveaux d'accès et de sécurité basés sur l'appartenance à un groupe.
-
Fournir une authentification multifacteur et une sécurité basées sur les adresses IP
En résolvant l'adresse IP d'un client qui tente de se connecter à une application ou infrastructure compatible avec RADIUS, les administrateurs ont la possibilité de configurer leur accès en fonction de la plage IP ou de la zone réseau de l'utilisateur. Consultez Réseau.
-
Configuration centralisée basée sur le cloud
Les administrateurs sont en mesure de gérer la totalité des configurations de leurs infrastructures et applications compatibles avec RADIUS à partir de l'Okta Admin Console. Ils n'ont pas besoin d'effectuer les modifications directement sur le serveur de l'agent RADIUS Okta.
-
2FA uniquement (mode sans mot de passe)
Vous pouvez configurer une application compatible avec RADIUS de manière à ce qu'elle utilise uniquement le second facteur d'une authentification multifacteur. On appelle ce procédé le « mode sans mot de passe ».
Lorsque vous configurez l'application pour activer le mode 2FA, décochez la case Okta réalise l'authentification principale, assurez-vous d'utiliser un port UDP unique et vérifiez le format pour Format du nom d'utilisateur de l'application.
Limitations
- Le port RADIUS et la clé secrète partagée sont capturés à partir de la Okta Admin Console par l'intermédiaire de tout VPN ou de toute application RADIUS configurée. Toutes les informations saisies à partir des invites de l'agent RADIUS sont disponibles si une organisation active la fonctionnalité après la saisie des informations.
- L'infrastructure Wi-Fi n'est pas prise en charge.
- L'agent RADIUS prend uniquement en charge l'authentification PAP. Aucun autre protocole n'est pris en charge.
Workflow classique
|
Tâche |
Description |
|---|---|
| Télécharger l'agent RADIUS |
Dans l'Admin Console, accédez à . Téléchargez l'agent RADIUS Okta approprié à votre environnement. |
| Installer l'agent Okta RADIUS Server sur Windows | Installez l'agent du Okta RADIUS Server pour votre plateforme. |
| Ajouter l'application RADIUS | Ajoutez l'application RADIUS générique, puis créez et configurez un groupe. |
| Configurer l'application client RADIUS | Configurez l'application client RADIUS. |
| Test | Validez et testez l'intégration. |
| Signalement de l'IP du client | Facultatif. Vous pouvez configurer Okta de manière à appliquer, restreindre ou fournir différents niveaux d'accès aux utilisateurs qui accèdent à votre système RADIUS, en fonction de leur adresse IP ou de leur zone réseau. |
| Informations sur l'appartenance à un groupe Okta pour les autorisations | Facultatif. Vous pouvez configurer Okta de manière à fournir différents niveaux d'accès et d'autorisation aux utilisateurs d'un service compatible avec RADIUS en fonction des groupes auxquels les utilisateurs appartiennent. |
| Filtrage d'adresses pour les services RADIUS | Facultatif. Pour plus de sécurité, il est possible de choisir de limiter l'accès aux services RADIUS en saisissant une adresse IP pour un adaptateur de réseau spécifique ou en ajoutant une liste d'adresses IP (pour les serveurs VPN, par exemple). Ainsi, vous vous assurez qu'aucun hôte non autorisé n'accède aux services RADIUS. |