Authentification multifacteur
L'authentification multifacteur (MFA) est une couche de sécurité supplémentaire qui permet de vérifier l'identité d'un utilisateur qui tente d'accéder à une ressource protégée par Okta Privileged Access. En activant la MFA, les organisations peuvent ajouter une couche de protection plus robuste pour protéger l'accès privilégié aux ressources, en complément des politiques d'authentification Okta et des politiques de SSO Okta Privileged Access spécifiques utilisées par votre organisation.
Les administrateurs de sécurité Okta Privileged Access peuvent activer la MFA dans la règle de politique pour sécuriser l'accès aux serveurs et aux secrets. Elle peut être activée pour les organisations Okta Identity Engine et Okta Classic Engine. Une fois la MFA activée, les utilisateurs sont invités à remplir la condition MFA chaque fois qu'ils essaient d'accéder à un secret. De même, si la MFA est activée pour accéder à un serveur, Okta Privileged Access garantit que l'authentification répond à la condition MFA chaque fois qu'un utilisateur tente de se connecter à un serveur avec SSH ou RDP.
Pour activer la MFA, consultez Politique de sécurité.
Apprenez comment les conditions d'authentification et d'autorisation multiples affectent l'accès des utilisateurs. Voir Conditions de règle.
Points à prendre en compte lors de la configuration de la MFA
- Évitez de configurer des politiques redondantes
- Une politique de sécurité devient redondante lorsqu'un utilisateur appartient à plusieurs groupes utilisés dans des politiques de sécurité différentes, ou lorsque la même ressource est incluse dans les règles de sécurité de deux politiques différentes. Lors de la création de politiques de sécurité qui autorisent l'accès à une ressource, il est important d'éviter la redondance des politiques avec des paramètres MFA différents. Si de telles politiques existent, le système applique l'exigence MFA la plus restrictive lorsque les utilisateurs accèdent à la ressource :
- La modification du paramètre MFA invalide les challenges MFA existants
- Si un paramètre MFA existant est modifié dans une règle de politique de sécurité, les challenges MFA que les utilisateurs ont effectués pour accéder aux ressources régies par la politique de sécurité ne sont plus valides. Par conséquent, les utilisateurs doivent relever un nouveau challenge MFA avant de se voir accorder l'accès à la ressource. Cependant, cela n'a pas d'impact sur les sessions actives.
- La résistance à l'hameçonnage est prioritaire en cas de règles de politique multiples
-
S'il existe plusieurs règles de politique, qu'elles soient identiques ou différentes, la résistance à l'hameçonnage est prioritaire. Par exemple, si une politique a activé la MFA avec les règles suivantes :
- Règle 1 : résistante à l'hameçonnage
- Règle 2 : deux types de facteurs, quels qu'ils soient
Dans ce scénario, le système sélectionne la règle 1.
- Dans plusieurs conditions résistantes à l'hameçonnage, la condition ayant la fréquence de ré-authentification la plus basse est sélectionnée.
-
S'il existe plusieurs conditions MFA de type résistant à l'hameçonnage, le système sélectionne celle dont la fréquence de ré-authentification est la plus faible. Par exemple, si une politique a activé la MFA et que la fréquence de ré-authentification est configurée avec les règles suivantes :
- Règle 1 : résistance à l'hameçonnage avec une fréquence de ré-authentification fixée à 3 600 minutes
- Règle 2 : résistance à l'hameçonnage avec une fréquence de ré-authentification fixée à 600 minutes
- Règle 3 : deux types d'usine avec une fréquence de ré-authentification définie sur 4 200
Dans ce scénario, le système sélectionne la règle 2.
- Pour des durées MFA courtes, une erreur se produit si les utilisateurs tardent à sélectionner la méthode de connexion
- Si les politiques de sécurité ont des durées MFA courtes, les utilisateurs finaux qui retardent le choix de leur méthode de connexion et de compte peuvent recevoir une erreur « Serveur non trouvé » lorsqu'ils tentent de se connecter à un serveur. Il est possible que leur authentification MFA ait expiré. Pour résoudre ce problème, les utilisateurs peuvent se reconnecter au serveur et effectuer à nouveau la vérification par MFA. Ils pourront ensuite se connecter au serveur.
- Assurez-vous que les utilisateurs sont autorisés à inscrire des appareils tels que FastPass, YubiKey ou WebAuthn pour prévenir l'hameçonnage.
- Avant d'activer une politique MFA active avec un type d'authentificateur résistant à l'hameçonnage, assurez-vous que l'administrateur de niveau organisation Okta a autorisé les utilisateurs à inscrire des appareils tels que Okta FastPass, YubiKey ou WebAuthn pour prévenir l'hameçonnage.