Détection du comportement améliorée d'un nouvel appareil
La fonctionnalité de détection du comportement améliorée d'un nouvel appareil est un mécanisme permettant de détecter qu'un utilisateur se connecte depuis un nouvel appareil.
Imaginez qu'un individu obtienne un nouvel ordinateur portable de son organisation et se connecte à Okta à partir de cet appareil. Okta détecte que ce dispositif n'a jamais été utilisé pour se connecter à Okta auparavant et l'enregistre comme un nouvel appareil.
Cette fonctionnalité analyse les données des cookies HTTP du navigateur avec lequel l'utilisateur s'est connecté à Okta et à des applications de confiance pour fournir des données sur le nouvel appareil. Les politiques évaluent ces données pour déterminer si l'utilisateur doit être invité à effectuer une authentification multifacteur (MFA) ou être autorisé à se connecter sans MFA.
Contactez votre représentant de compte pour activer cette fonctionnalité.
Consulter Détection du comportement et évaluation.
Limitations connues
- L'activité de connexion à partir d'un appareil utilisant un navigateur sans cookie HTTP est traitée comme un nouvel appareil, mais avec une précision limitée.
- Okta n'utilise pas les données de la fonctionnalité Détection du comportement améliorée d'un nouvel appareil pour déterminer quand envoyer un e-mail de notification pour une nouvelle connexion. En outre, les modifications apportées à deviceToken ou aux cookies du navigateur peuvent ne pas déclencher d'e-mail de notification de nouvelle authentification. Consultez Sécurité générale dans Sécurité générale et Notifications d'authentification pour les utilisateurs finaux.
Applications de confiance
Les applications de confiance sont chargées d'identifier les appareils dans le cadre de la détection des nouveaux appareils.
- Si la fonctionnalité de détection améliorée du comportement d'un nouvel appareilest activée po ur votre organisation, vous pouvez envoyer un identificateur unique pour chaque appareil en utilisant deviceToken dans l'objet de contexte. Consultez Objet de contexte d'authentification.
- L'activité de connexion est considérée comme provenant d'un nouvel appareil lorsqu'une application de confiance n'envoie pas l'identificateur unique.
-
Si la fonctionnalité de détection du comportement améliorée d'un nouvel appareil n'est pas activée pour votre org, vous pouvez envoyer un identificateur unique pour chaque appareil en utilisant l'en-tête X-DEVICE-FINGERPRINT. Consulter Authentification principale au moyen de la prise d'empreinte numérique des appareils.
Pour découvrir comment générer un identificateur unique, consulter Bonnes pratiques concernant la prise d'empreinte numérique des appareils.
Remarque sur la détection des appareils
Auparavant, Okta utilisait la prise d'empreinte numérique JavaScript pour identifier les nouveaux appareils. La fonction de détection du comportement améliorée des nouveaux appareils ne repose plus sur la prise d'empreinte numérique du navigateur (qui n'est pas l'utilisation d'empreintes digitales physiques dans l'authentification biométrique) :
- La prise d'empreinte numérique du navigateur ne fournit qu'une précision approximative, car certains fournisseurs de navigateurs peuvent réduire la précision des empreintes.
-
L'empreinte numérique du navigateur peut changer au fil du temps étant donné que la même empreinte de navigateur peut être envoyée depuis plusieurs appareils.
Par conséquent, Okta recommande d'activer la fonctionnalité de détection du comportement améliorée d'un nouvel appareil pour une détection plus précise.