Gérer les jetons de l'API Okta

Utilisez l'onglet Jetons de la page API pour gérer et créer des jetons d'API Okta et configurer des restrictions concernant l'endroit à partir duquel ils peuvent se connecter.

Les jetons d'API sont utilisés pour authentifier les requêtes envoyées vers l'API Okta. Un jeton d'API est émis pour un utilisateur spécifique. Toutes les requêtes effectuées à l'aide du jeton agissent pour le compte de l'utilisateur. Les jetons d'API sont des secrets et doivent être traités comme des mots de passe.

Les jetons d'API sont générés avec les permissions de l'utilisateur ayant créé le jeton. Si les permissions de l'utilisateur sont modifiées, le jeton l'est aussi. Les super administrateurs, les administrateurs d'orgs, les administrateurs de groupes, les administrateurs d'appartenance aux groupes et les administrateurs en lecture seule peuvent créer des jetons.

Les jetons sont valides uniquement si l'utilisateur qui les a créés est actif. Les jetons émis par des utilisateurs désactivés sont rejetés. Pour éviter les interruptions de service, générez des jetons d'API à l'aide d'un compte de service qui ne sera pas désactivé et qui dispose des permissions de super administrateur qui ne seront pas modifiées.

Les jetons d'API sont valides pendant 30 jours et sont automatiquement renouvelés chaque fois qu'ils sont utilisés avec une requête d'API. Lorsqu'un jeton a été inactif pendant plus de 30 jours, il est révoqué et ne peut plus être utilisé.

Les agents Okta génèrent également des jetons d'API au cours de l'installation, qu'ils utilisent pour accéder à votre organisation Okta. Bien que ces jetons soient semblables au jeton d'API standard, ils sont gérés par Okta.

Vous pouvez parcourir la liste des jetons d'agent sur cette page et identifier tout problème de sécurité qui pourrait en découler. La plupart des agents utilisent un jeton. La configuration du jeton est réalisée de façon automatique lorsque vous activez, désactivez ou réactivez un agent.

Pour en savoir plus sur les API Okta, consultez le site Okta Developer.

Créer des jetons d'API Okta

Vous pouvez créer des jetons d'API Okta et configurer des restrictions concernant l'endroit à partir duquel ils peuvent se connecter.

  1. Dans l'Admin Console, accédez à SécuritéAPI.

  2. Cliquez sur l'onglet Jetons.
  3. Cliquez sur Créer un jeton.
  4. Dans le champ Quel nom souhaitez-vous donner à votre jeton ?, saisissez un nom de jeton.
  5. Dans la liste déroulante Les appels API effectués avec ce jeton doivent provenir de, sélectionnez une option afin de déterminer l'endroit à partir duquel les connexions sont autorisées :
    • N'importe quelle adresse IP : autoriser les connexions depuis n'importe quelle adresse IP ou zone réseau.
    • Dans n'importe quelle zone réseau définie dans Okta : autoriser les connexions si elles proviennent de n'importe quelle zone réseau définie dans votre org Okta.
    • Dans l'une des zones suivantes : autoriser les connexions si elles proviennent de zones réseau que vous spécifiez. Commencez à saisir le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous avez saisi. Cliquez sur un nom pour le sélectionner. Répétez cette étape pour ajouter d'autres zones réseau.
    • Pas dans une zone réseau définie dans Okta : autoriser les connexions si elles ne proviennent pas d'une zone réseau définie dans votre org Okta.
    • Pas dans l'une des zones suivantes : autoriser les connexions si elles ne proviennent pas de zones réseau que vous spécifiez. Commencez à saisir le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous avez saisi. Cliquez sur un nom pour le sélectionner. Répétez cette étape pour ajouter d'autres zones réseau.
    • N'importe quelle adresse IP : Autoriser les connexions depuis n'importe quelle adresse IP ou zone réseau.
    • Dans n'importe quelle zone réseau définie dans Okta : autoriser les connexions si elles proviennent de n'importe quelle zone réseau définie dans votre org Okta.
    • Dans l'une des zones suivantes : autoriser torisez les connexions si elles proviennent de zones réseau que vous spécifiez. Saisissez le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous saisissez. Sélectionnez un nom. Répétez cette étape pour ajouter d'autres zones réseau.
    • Pas dans une zone réseau définie dans Okta : autoriser les connexions si elles ne proviennent pas d'une zone réseau définie dans votre org Okta.
    • Pas dans l'une des zones suivantes : autoriser les connexions si elles ne proviennent pas de zones réseau que vous spécifiez. Saisissez le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous saisissez. Sélectionnez un nom. Répétez cette étape pour ajouter d'autres zones réseau.
    • Vous pouvez uniquement utiliser des zones basées sur une adresse IP avec des jetons SSWS. Assurez-vous de les ajouter au champ Adresses IP de passerelles sur la page Ajouter une zone d'IP. Consultez Évaluation de la zone IP.
    • Vous ne pouvez pas utiliser de zones dans la liste de blocage avec les jetons SSWS. Voir Créer une zone dynamique.
  6. Cliquez sur Créer un jeton.

  7. Le message Le jeton a été créé avec succès ! et la valeur du jeton s'affichent.

  8. Cliquez sur Copier dans le presse-papiers (Copier le jeton) et collez le jeton dans un emplacement sûr, tel qu'un gestionnaire de mots de passe. Vous pouvez uniquement afficher et copier le jeton au cours du processus de création. Pour votre protection, une fois le jeton créé, il est stocké sous forme de code de hachage. Okta vous recommande de traiter les jetons d'API comme des mots de passe.

Définir des seuils de protection pour les jetons (facultatif)

Lorsque vous créez des jetons d'API à l'aide de l'Admin Console, les seuils de protection des interactions avec les jetons sont automatiquement définis sur 50 % du seuil maximal de chaque API. Consultez Seuils de protection des API. Vous pouvez ajuster ce pourcentage pour chaque jeton.

  1. Dans l'Admin Console, accédez à SécuritéAPI.

  2. Cliquez sur l'onglet Jetons.
  3. Cliquez sur le nom du jeton que vous souhaitez modifier.
  4. Dans la section Limites d'utilisation des jetons, cliquez sur Modifier.

  5. Positionnez le curseur sur le pourcentage de votre choix.

  6. Cliquez sur Enregistrer.

Voir les jetons

Tous les jetons s'affichent lorsque vous ouvrez l'onglet Jetons de la page API. Le nom, l'identifiant, le rôle, le statut, le type et la date de dernière utilisation du jeton sont indiqués pour chaque jeton.

Pour afficher plus d'informations sur un jeton, cliquez sur son nom.

Pour trier l'affichage, cliquez sur Trier par, puis sélectionnez un type de tri.

Pour rechercher un jeton, cliquez dans le champ de recherche, saisissez le nom du jeton, puis appuyez sur Entrée.

Pour afficher les informations sur l'utilisateur ayant créé le jeton, cliquez sur le nom de l'utilisateur sous la colonne Rôle.

Les codes de couleur suivants indiquent le statut du jeton :

  • Vert : le jeton a été utilisé au cours des trois derniers jours.
  • Gris : le jeton n'a pas été utilisé au cours des trois derniers jours et il reste plus de sept jours avant sa date d'expiration.
  • Rouge : le jeton expire dans les sept jours.
  • Jaune : le jeton est suspect. Un jeton suspect est associé à un agent qui n'est pas enregistré dans Okta. Les déploiements d'agents standard ne créent pas de jetons suspects. Okta vous recommande d'enquêter sur les jetons suspects. Cliquez sur le nom du jeton et regardez l'approvisionnement de l'agent associé. Si l'agent n'est pas enregistré dans Okta, ou si vous ne l'avez pas réactivé après l'avoir désactivé, vous pouvez révoquer et supprimer le jeton de cette page.

Pour afficher les jetons par type, sélectionnez un type de jeton dans la liste de gauche pour limiter les résultats à ce type de jeton. La catégorie Jetons suspects contient des jetons associés à un agent non enregistré dans Okta. Cette liste est dynamique et évolue en fonction du nombre et du type de jetons.

Révoquer un jeton

Il existe deux façons de révoquer un jeton :

  • Sur la page API, dans l'onglet Jetons, cliquez sur l'icône Révoquer le jeton (l'icône Corbeille) sous la colonne Actions pour le jeton que vous souhaitez révoquer.
  • Sur la page API, dans l'onglet Jetons, cliquez sur le nom du jeton que vous souhaitez révoquer. Sur la page du jeton, cliquez sur Révoquer le jeton.

L'icône ou le bouton Révoquer le jeton n'est pas toujours actif :

  • Les jetons d'agent peuvent être révoqués si l'agent n'est pas actif. Dans le cas contraire, vous devez désactiver l'agent avant de révoquer le jeton. Certains agents, tels que l'agent AD Okta, révoquent automatiquement leurs jetons lorsque vous désactivez l'agent.
  • Les jetons d'API peuvent toujours être révoqués.

Modifier les zones réseau d'où peuvent provenir les appels d'API

Après avoir créé un jeton, vous pouvez ajouter ou modifier des restrictions quant à l'origine des appels d'API.

  1. Dans l'Admin Console, accédez à SécuritéAPI.

  2. Cliquez sur l'onglet Jetons.
  3. Cliquez sur le nom du jeton que vous souhaitez modifier.
  4. Dans la section Sécurité, cliquez sur Modifier.
  5. Dans la liste déroulante Le jeton peut être utilisé à partir de, sélectionnez une option afin de déterminer l'endroit à partir duquel les connexions sont autorisées :
    • N'importe quelle adresse IP : autoriser les connexions depuis n'importe quelle adresse IP ou zone réseau.
    • Dans n'importe quelle zone réseau définie dans Okta : autoriser les connexions si elles proviennent de n'importe quelle zone réseau définie dans votre org Okta.
    • Dans l'une des zones suivantes : autoriser torisez les connexions si elles proviennent de zones réseau que vous spécifiez. Saisissez le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous saisissez. Sélectionnez un nom. Répétez cette étape pour ajouter d'autres zones réseau.
    • Pas dans une zone réseau définie dans Okta : autoriser les connexions si elles ne proviennent pas d'une zone réseau définie dans votre org Okta.
    • Pas dans l'une des zones suivantes : autoriser les connexions si elles ne proviennent pas de zones réseau que vous spécifiez. Saisissez le texte correspondant au nom de la zone réseau que vous souhaitez sélectionner. Okta présente des résultats qui correspondent à ce que vous saisissez. Sélectionnez un nom. Répétez cette étape pour ajouter d'autres zones réseau.
    • Vous pouvez uniquement utiliser des zones basées sur une adresse IP avec des jetons SSWS. Assurez-vous de les ajouter au champ Adresses IP de passerelles sur la page Ajouter une zone d'IP. Consultez Évaluation de la zone IP.
    • Vous ne pouvez pas utiliser de zones dans la liste de blocage avec les jetons SSWS. Voir Créer une zone dynamique.

  6. Cliquez sur Enregistrer.

Voir l'historique d'un jeton

Vous pouvez afficher des informations sur la date de création du jeton, sa dernière utilisation et sa date d'expiration.

  1. Dans l'Admin Console, accédez à SécuritéAPI.

  2. Cliquez sur l'onglet Jetons.
  3. Cliquez sur le nom du jeton dont vous souhaitez consulter l'historique.
  4. Examinez les informations contenues dans la section Historique.

Suivre des jetons dans le journal système

Le journal système contient des informations sur la création et la révocation des jetons d'API. Le message associé à ces opérations est Jeton d'API créé ou Jeton d'API révoqué. Dans le journal système v1, uniquement accessible via l'API Okta, la catégorie pour ces événements est Cycle de vie du jeton.

Si le créateur d'un jeton le révoque, l'acteur et la cible contiennent les mêmes informations.

Si un administrateur n'ayant pas créé le jeton le révoque, l'acteur et la cible contiennent des informations différentes.

Rubriques liées

API Access Management

Configurer les origines approuvées