Séquençage de facteur MFA

La fonctionnalité de séquencement des facteurs MFA n'est plus disponible pour les nouvelles activations. Ces instructions sont destinées uniquement aux activations héritées. Aucun autre correctif ou optimisation ne sera fourni et la prise en charge est limitée à la remédiation des vulnérabilités de sécurité uniquement. Pour une fonctionnalité similaire, les clients peuvent passer à Okta Classic Engine et utiliser la fonctionnalité Chaînes de méthodes d'authentification. Consultez Effectuer une mise à niveau vers Okta Identity Engine ou contactez le support Okta.

Le séquencement des facteurs permet à un utilisateur final de s'authentifier avec une série de facteurs d'authentification multifacteur (MFA) au lieu d'un mot de passe.

  • Le séquençage de facteur prend en charge Okta Verify Push et d'autres facteurs comme méthode d'authentification principale.
  • Cette fonctionnalité est prise en charge sur Okta Mobile uniquement si le mot de passe est défini comme premier facteur.

Il y a deux étapes pour configurer le séquençage de facteur avec succès :

  1. Configurer les facteurs obligatoires pour les stratégies d'inscription MFA
  2. Définir la séquence de facteurs MFA

Avant de commencer

Notez les limitations suivantes avant de configurer le séquençage de facteur :

  • Vous ne pouvez pas utiliser le séquençage de facteur lorsque vous déployez les flux de connexion du fournisseur d'identité et d'IWA. Les utilisateurs ne sont pas invités à s'authentifier avec des facteurs supplémentaires lorsqu'ils se connecteront à Okta en utilisant un IdP externe ou IWA.
  • Vous ne pouvez pas spécifier de chaînes de séquençage de facteurs pour les politiques de connexion aux applications.
  • Un utilisateur doit être inscrit au premier facteur de la séquence de facteurs pour se connecter avec succès. S'il n'est pas inscrit au premier facteur de la séquence, il ne peut pas se connecter.
  • Si la politique d'authentification comporte plusieurs chaînes de facteurs, l'utilisateur doit être inscrit au premier facteur d'au moins une chaîne de facteurs.

Séquençage de facteur et Active Directory

Pour l'authentification déléguée à Active Directory tout en utilisant le séquencement de facteurs, activez le facteur Mot de passe. Sinon, Okta ne vérifie pas le statut du compte Active Directory pendant le flux de connexion.

  • Le statut du compte utilisateur est uniquement mis à jour à chaque importation d'Active Directory vers Okta. Entre les importations, un utilisateur peut se connecter à Okta avec un compte Active Directory désactivé en utilisant un flux sans mot de passe (notification push WebAuthn ou Okta Verify Push sans mot de passe). Vous pouvez effectuer une importation manuelle d'Active Directory vers Okta pour vous assurer que ces comptes ne peuvent pas se connecter.
  • Okta ne vérifie l'expiration du mot de passe que si un mot de passe est requis dans une séquence de facteurs. Si un utilisateur doit changer son mot de passe Active Directory, il peut toujours se connecter à Okta sans changement de mot de passe en utilisant un flux sans mot de passe.

Définir les facteurs MFA obligatoires

Dans cette section, vérifiez qu'au moins un facteur MFA est obligatoire dans vos politiques d'inscription MFA.

  1. Dans la Admin Console, allez à SécuritéMultifacteurInscription de facteur pour définir les politiques d'inscription de facteur que vous avez déjà activées pour vos utilisateurs.
  2. Vérifiez que les facteurs d'au moins une chaîne de facteurs sont marqués comme Obligatoire pour l'inscription. Par exemple, définissez les deux séquences de facteurs suivantes dans votre politique d'authentification :
    1. SMS et Okta Verify
    2. Okta Verify et questions de sécurité

    Vos utilisateurs finaux doivent s'inscrire aux facteurs séquentiels (a) ou (b) pour que l'authentification soit réussie.

Définir la séquence de facteurs MFA

Dans cette section, modifiez une politique d'authentification Okta pour spécifier la séquence des facteurs MFA lorsque les utilisateurs s'authentifient auprès d'Okta.

  1. Depuis le menu de Admin Console, allez à SécuritéAuthentificationAuthentification.
  2. Sélectionnez une règle existante ou créez une règle pour les utilisateurs finaux.
  3. Après avoir sélectionné vos critères de règle, faites défiler vers le bas jusqu'à Authentification pour définir vos séquences de facteurs.

Une fois vos modifications enregistrées, l'authentification avec séquençage de facteur est immédiatement mise à la disposition des utilisateurs finaux.

Expérience de l'utilisateur final

  1. Lorsque vous activez cette fonctionnalité, le Sign-In Widget change pour vos utilisateurs finaux. Au lieu de voir les champs Nom d'utilisateur et Mot de passe sur la même page, l'utilisateur ne voit que le champ Nom d'utilisateur sur la première page. L'utilisateur saisit son nom d'utilisateur et clique sur Suivant.
  2. Les pages suivantes présentent chaque facteur dans la séquence configurée, un sur chaque page. L'utilisateur s'authentifie avec chaque facteur et clique sur Vérifier. Par exemple, si vous configurez une séquence de facteurs avec le facteur SMS en premier, suivi du facteur WebAuthn, l'utilisateur voit le champ Nom d'utilisateur sur la première page, la vérification par SMS sur la deuxième page et le WebAuthn vérification sur la troisième page.
  3. Une fois que l'utilisateur a validé toutes les étapes de vérification , le tableau de bord Okta apparaît.

Rubriques liées

Authentification multifacteur

Sécurité générale

Zones de réseau