Facteur IdP personnalisé

Version d'accès anticipé

Le facteur IdP personnalisé permet aux administrateurs d'activer l'authentification via avec un fournisseur d'identité (IdP) OIDC ou SAML en tant que vérification supplémentaire. Une fois configuré, l'utilisateur final voit l'option permettant d'utiliser le fournisseur d'identité pour une vérification supplémentaire et sera redirigé vers le fournisseur d'identité pour la vérification. Cette vérification remplace l'authentification par un autre facteur autre sans mot de passe, tel qu'Okta Verify.

Une fois qu'un facteur IdP personnalisé a été activé et ajouté à une politique d'inscription à l'authentification multifacteur, les utilisateurs peuvent l'utiliser pour vérifier leur identité lorsqu'ils se connectent à Okta. Les utilisateurs finaux sont redirigés vers le fournisseur d'identité afin de s'authentifier, puis vers Okta une fois la vérification réussie.

Ce facteur vous permet d'effectuer les actions suivantes :

  • Ajoutez un facteur d'IdP personnalisé pour une authentification IdP existante basée sur SAML ou OIDC.
  • Associer un IdP SAML 2.0 ou un IdP OIDC existant pour l'utiliser comme fournisseur du facteur IdP personnalisé.

Avant de commencer

  • Un accès administrateur à Okta est nécessaire pour inscrire et configurer le facteur IdP personnalisé.
  • Un fournisseur d'identité existant doit être disponible pour être utilisé comme fournisseur d'authentification supplémentaire.

Mappage des demandes SAML et OIDC

Okta prévoit les demandes suivantes pour le SAML et l'OIDC :

  • Pour la réponse SAML, la revendication subjectNameId est mappée vers le nom d'utilisateur Okta.
  • Pour la réponse OIDC, la demande preferred_username est mappée vers le nom d'utilisateur Okta.

Configurer un facteur IdP personnalisé

Il y a deux étapes pour configurer un facteur IdP personnalisé :

  1. Ajoutez un fournisseur d'identité dans Okta.
  2. Activez l'Authenticator de l'IdP.

Étape 1 : ajouter des fournisseurs d'identité à Okta

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Cliquez sur Ajouter un fournisseur d’identité et sélectionnez le fournisseur d'identité que vous souhaitez ajouter.
  3. Cliquez sur Suivant. La page de configuration du fournisseur d'identité s'affiche.
  • Chaque page de fournisseur d'identité comprend un lien vers les instructions de configuration de ce fournisseur d'identité. Okta vous recommande de lire ces instructions pour savoir comment configurer votre fournisseur d'identité.
  • Les paramètres JIT ne sont pas pris en charge avec le facteur IdP personnalisé.

Étape 2 : activer le facteur IdP personnalisé

Ajoutez un fournisseur d'identité comme décrit dans l'Étape 1 avant de pouvoir activer le facteur de l'authentificateur du fournisseur d’identité (IdP).

  1. Dans Admin Console, allez à SécuritéMultifacteur.

  2. Cliquez sur Facteur IdP.
  3. Cliquez sur Modifier.
  4. Cliquez sur Add Custom Factor (Ajouter un facteur personnalisé).
  5. Sélectionner un Fournisseur d'identité dans le menu.
  6. Cliquez sur Enregistrer.
  7. Définissez le statut du facteur personnalisé sur Actif pour l'activer pour les utilisateurs finaux ou Inactif pour le désactiver.

Une fois que le facteur personnalisé est actif, rendez-vous à FacteurInscription, puis ajoutez le Facteur d'IdP à la politique d'inscription MFA de votre org.

Expérience de l'utilisateur final

  • Les utilisateurs sont invités à configurer un facteur d' authentification personnalisé lors de leur prochaine connexion.
  • Une fois que l'utilisateur final a réussi à configurer le facteur IdP personnalisé, il apparaît dans ParamètresVérification supplémentaire.
  • Lorsqu'un utilisateur final déclenche l'utilisation d'un facteur, celui-ci expire au bout de cinq minutes. Après, ils doivent à nouveau déclencher l'utilisation du facteur.

Limites

L'authentification par facteur d'IdP personnalisé n'est pas prise en charge avec les éléments suivants :

  • Agent IWA Web Okta : l'authentification par facteur d'IdP personnalisé ne peut pas être utilisée avec l'agent Integrated Windows Authentication (IWA) Okta pour l'authentification unique de bureau.
  • Les intégrations Device Trust qui utilisent la configuration « Autorisations non de confiance avec MFA » échouent.
  • Les utilisateurs Okta Mobile n'ont plus le lancement de l'application SWA et le remplissage automatique du mot de passe ni les sessions de tableau de bord d'application mobile de longue durée. Lorsque Okta Support active le facteur d'authentificateur du fournisseur d'identité (IdP) personnalisé pour votre org, l'interface Web apparaît à la place de l'IU de l'application.
  • MFA pour RDP, MFA pour ADFS, les connexions RADIUS, ou d'autres flux de connexion non basés sur un navigateur ne prennent pas en charge le facteur IdP personnalisé.
  • Le facteur IdP personnalisé ne prend pas en charge l'utilisation de Microsoft Azure Active Directory (AD) comme fournisseur d'identité. Pour utiliser Microsoft Entra ID en tant que fournisseur d'identité, consultez Faire de MIcrosoft Entra ID un fournisseur d'identité.

Rubriques liées

Fournisseurs d'identité

Stratégies d'authentification

Authentification multifacteur

Sécurité générale

Zones de réseau