Facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé (MFA)

Le facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé vous permet d'utiliser une solution personnalisée de mots de passe à usage TOTP (Mot de passe à usage unique et à durée limitée) et à durée limitée pour l'authentification des utilisateurs.

Vos utilisateurs sélectionnent le facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé lorsqu'ils se connectent et fournissent le TOTP (Mot de passe à usage unique et à durée limitée) de leur jeton pour se connecter à Okta ou à des ressources protégées par Okta.

Pour configurer ce facteur, vous devez transmettre les valeurs factorProfileId et sharedSecret via l'API Factors Okta pour chaque jeton.

Vous pouvez créer un nombre illimité d'instances du facteur Custom TOTP (Mot de passe à usage unique et à durée limitée) pour différents groupes d'employés, mais les utilisateurs ne peuvent s'inscrire qu'à une seule instance à la fois.

Avant de commencer

  • Consultez la documentation de l'API Factors Okta.
  • Si la fonctionnalité TOTP (Mot de passe à usage unique et à durée limitée) personnalisé n'est pas encore activée pour votre organisation, contactez l'assistance Okta pour l'activer.
  • Générez des clés secrètes partagées uniques pour chaque utilisateur que vous souhaitez inscrire à votre facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé.
  • Notez les algorithmes d'encodage HMAC et du secret partagé que vous utilisez dans votre implémentation.
  • Fournissez aux utilisateurs finaux un jeton de sécurité matériel ou logiciel programmé avec une clé secrète partagée unique.

Ajouter TOTP (Mot de passe à usage unique et à durée limitée) personnalisé comme facteur

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Dans l'onglet Types de facteur, cliquez sur TOTP (Mot de passe à usage unique et à durée limitée).
  3. Cliquez sur Ajouter un facteur TOTP (Mot de passe à usage unique et à durée limitée).
  4. Configurez les options suivantes. Sélectionnez les algorithmes d'encodage HMAC et de secret partagé qui correspondent à votre implémentation :
    • Nom
    • Longueur TOTP
    • Algorithme HMAC. sélectionnez l'algorithme qui correspond à votre implémentation.
    • Étape de temps : configurez Intervalle de dérive de l'horloge.
    • Intervalle de dérive de l'horloge : Ce paramètre vous permet de générer une tolérance pour toute dérive entre l'heure actuelle du jeton et l'heure actuelle du serveur. Si vous sélectionnez une étape de temps de 15 secondes et un intervalle de dérive de l'horloge de 3, Okta accepte les codes secrets 15 X 3 = 45 secondes avant ou après qu'un utilisateur a saisi son code secret.

    • Encodage de la clé secrète partagée : sélectionnez l'algorithme qui correspond à votre implémentation.

  5. Cliquez sur Enregistrer. Le facteur et l'ID de profil de facteur associé apparaissent.
  6. Pour copier l'ID du profil de facteur afin d'inscrire des utilisateurs, cliquez sur l'icône du presse-papiers. Vous saisissez cet ID lorsque vous inscrirez des utilisateurs dans l'API Factors Okta.
  7. Inscrivez les utilisateurs dans l'API Factors Okta. Assurez-vous que vous disposez des informations suivantes pour effectuer l'appel d'API :
    • Type de facteur
    • Fournisseur
    • ID de profil de facteur
    • Clé secrète partagée
    • Un utilisateur ne peut s'inscrire qu'à un seul facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé.
    • Lorsque vous inscrivez des utilisateurs, assurez-vous que leur factorID correspond au jeton de sécurité qui leur a été attribué. Si vous utilisez un factorID incorrect, une erreur se produit lorsque l'utilisateur tente de s'authentifier.
    • Vérifiez que l'authentification est réussie pour un seul utilisateur avant d'inscrire plusieurs utilisateurs.

Inscrire TOTP (Mot de passe à usage unique et à durée limitée) personnalisé dans une politique multifacteur Okta

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Dans l'onglet Inscription de facteur, ajoutez une nouvelle politique multifacteur ou modifiez une politique existante.

    Ajouter une stratégie

    1. Cliquez sur Ajouter une politique multifacteur.
    2. Saisissez un nom.
    3. Affectez la politique à des groupes.
    4. Définissez l'option TOTP (Mot de passe à usage unique et à durée limitée) sur Facultatif ou Obligatoire.
    5. Cliquez sur Créer une politique.

    Modifier une politique

    1. Sélectionnez la politique que vous vouleez modifier, et cliquez sur Modifier.
    2. Dans Facteurs effectifs, définissez l'option TOTP (Mot de passe à usage unique et à durée limitée) sur Facultatif ou Obligatoire.
    3. Cliquez sur Mettre à jour la politique.
  3. Pour ajouter des règles à la politique, consultez Configurer une politique d'inscription MFA.

Expérience de l'utilisateur final

  1. L'utilisateur final voit une invitation à authentifier à l'aide d'un facteur lorsqu'il se connecte à Okta ou accède à une application protégée par Okta, si les politiques d'authentification l'exigent.
  2. Si l'utilisateur est inscrit à partir de l'API Okta Factors, il voit une invitation à saisir le code de passe qui figure sur son jeton de sécurité. Si l'utilisateur final n'était pas inscrit via l'API, un message d'erreur apparaît.

Considérations importantes

  • Vérifiez votre configuration. Inscrivez et authentifiez quelques utilisateurs avec le jeton TOTP (Mot de passe à usage unique et à durée limitée) avant d'inscrire d'autres utilisateurs. Cela vous permet d'identifier et de corriger les problèmes potentiels sans affecter plus d'utilisateurs. Vous ne pouvez pas modifier un profil de facteur après l'avoir créé. Si vous configurez un profil de manière incorrecte, vous devez réinscrire tous les utilisateurs concernés dans un nouveau profil TOTP (Mot de passe à usage unique et à durée limitée) personnalisé.
  • Si vous pouvez ajouter un nombre illimité de facteurs TOTP (Mot de passe à usage unique et à durée limitée) personnalisés via la Admin Console, les utilisateurs ne peuvent s'inscrire qu'à un seul facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé.
  • Cette fonctionnalité ne prend en charge que les jetons OTP standard. Les implémentations propriétaires ou les jetons non standard ne sont pas pris en charge.
  • Vous ne pouvez pas modifier une configuration OTP après l'avoir créée. Sélectionnez les bons paramètres avant de cliquer sur Ajouter pour enregistrer la configuration.