Configurer la gestion de la compromission des identifiants

La gestion de la compromission des identifiants est un paramètre de sécurité dans votre politique de mots de passe. Utilisez-la pour configurer la réponse de Okta lorsque les identifiants utilisateur de votre org ont été compromis. Par défaut, Okta expire les identifiants, met fin à leurs sessions Okta et exige que l’utilisateur réinitialise son mot de passe lors de sa prochaine connexion.

Les paramètres par défaut de gestion de la compromission des identifiants s'appliquent à toutes vos politiques de mots de passe, vous devez donc mettre à jour chaque politique que vous souhaitez modifier.

ATTENTION :

Pour que les utilisateurs provenant d'AD puissent réinitialiser leur mot de passe après avoir saisi un mot de passe compromis, il est nécessaire d'activer la réinitialisation du mot de passe en libre-service dans votre org. Consultez le section À propos des permissions du compte de service Okta. Assurez-vous que votre agent AD a l'autorisation de modifier les paramètres du mot de passe utilisateur. Consulter Comptes obligatoires

Avant de commencer

Une configuration sécurisée du flux de modification du mot de passe est nécessaire pour sécuriser le mécanisme de défense prévu de cette fonctionnalité et réduire le risque de prise de contrôle du compte (ATO). Les orgs Identity Engine peuvent sécuriser le flux de modification du mot de passe à l'aide de la règle d'expiration du mot de passe de la politique d'Okta Account Management. Les orgs Classic Engine doivent s'assurer que leur politique de mot de passe applique la MFA pendant le flux de modification du mot de passe.

Configurer les paramètres de la politique de mots de passe

Dans le Admin Console, accédez à Sécurité > Authentification.
Dans l’onglet Mot de passe, sélectionnez la politique de mot de passe à modifier.
Dans la section Sécurité des mots de passe, sélectionnez vos réponses.
- Définissez l'expiration du mot de passe après ce nombre de jours : les utilisateurs peuvent se connecter avec leurs identifiants compromis pendant un maximum de 10 jours. La valeur par défaut est 0, ce qui signifie que le mot de passe expire immédiatement.
- Déconnectez immédiatement l'utilisateur d'Okta : les utilisateurs sont immédiatement déconnectés de toutes leurs sessions Okta. Lorsqu'il est utilisé avec le paramètre d'expiration par défaut de 0, l'utilisateur doit définir un nouveau mot de passe avant de se connecter à nouveau.
- Effectuez des actions personnalisées à l'aide des workflows: sélectionnez un workflow délégué pour personnaliser votre réponse.
Cliquez sur Mettre à jour la stratégie.

Si vous souhaitez utiliser des API ou des flux d’aide plutôt que la réponse Effectuer des actions personnalisées avec les Workflows, consultez le modèle Workflows Okta Modèle : notifications pour mot de passe compromis.

Étape suivante

Tester votre configuration de gestion de la compromission des identifiants