Facteur IdP personnalisé

Version en accès anticipé

Le facteur IdP personnalisé permet aux administrateurs d’activer l’authentification avec un fournisseur d’identité OIDC ou SAML comme vérification supplémentaire. Une fois configuré, l’utilisateur final voit l’option d’utiliser le fournisseur d’identité pour une vérification supplémentaire et est redirigé vers ce fournisseur. Cette vérification remplace l’authentification avec un autre facteur non fondé sur le mot de passe, tel que Okta Verify.

Une fois qu’un facteur IdP personnalisé a été activé et ajouté à une politique d’enrôlement MFA, les utilisateurs peuvent l’utiliser pour vérifier leur identité lorsqu’ils se connectent à Okta. Les utilisateurs finaux sont dirigés vers le fournisseur d’identité pour s’authentifier, puis sont redirigés vers Okta une fois la vérification réussie.

Ce facteur vous permet de :

Ajoutez un facteur d'IdP personnalisé pour une authentification IdP existante basée sur SAML ou OIDC.
Associer un IdP SAML 2.0 ou un IdP OIDC existant pour l'utiliser comme fournisseur du facteur IdP personnalisé.

Avant de commencer

Un accès administrateur à Okta est nécessaire pour inscrire et configurer le facteur IdP personnalisé.
Un fournisseur d’identité existant doit être disponible comme fournisseur d’authentification d’escalade supplémentaire.

Mappage des revendications SAML et OIDC

Okta attend les revendications suivantes pour SAML et OIDC :

Pour la réponse SAML, la revendication subjectNameId est mappée au nom d’utilisateur Okta.
Pour la réponse OIDC, la revendication preferred_username est mappée au nom d’utilisateur Okta.

Configurer un facteur IdP personnalisé

La configuration d’un facteur IdP personnalisé comporte deux étapes :

Ajoutez un fournisseur d'identité dans Okta.
Activer l’authentificateur IdP.

Étape 1 : ajouter des fournisseurs d’identité à Okta

Dans l'Admin Console, accédez à Sécurité > Fournisseurs d'identité.
Cliquez sur Ajouter un fournisseur d'identité et sélectionnez le fournisseur d’identité à ajouter.
Cliquez sur Suivant. La page de configuration du fournisseur d'identité s'affiche.

Remarque :

Chaque page de fournisseur d’identité comporte un lien vers les instructions de configuration correspondantes. Okta vous recommande de lire ces instructions pour savoir comment configurer votre fournisseur d'identité.
Les paramètres JIT ne sont pas pris en charge avec le facteur IdP personnalisé.

Étape 2 : activer le facteur IdP personnalisé

Ajoutez un fournisseur d’identité comme décrit à l’étape 1 avant d’activer le facteur IdP personnalisé.

Dans l'Admin Console, accédez à Sécurité > Multifacteur .
Cliquez sur Facteur IdP.
Cliquez sur Modifier.
Cliquez sur Add Custom Factor (Ajouter un facteur personnalisé).
Sélectionner un Fournisseur d'identité dans le menu.
Cliquez sur Enregistrer.
Réglez le statut du facteur personnalisé sur Actif pour l’activer pour les utilisateurs finaux ou sur Inactif pour le désactiver.

Une fois le facteur personnalisé actif, accédez à Facteur > Enrôlement et ajoutez le Facteur IdP à la politique d’enrôlement MFA de votre org.

Expérience de l'utilisateur final

Les utilisateurs sont invités à configurer l’authentification par facteur personnalisé lors de leur prochaine connexion.
Après configuration réussie du facteur IdP personnalisé par l’utilisateur final, il apparaît dans Paramètres > Vérification supplémentaire.
Lorsqu’un utilisateur final déclenche l’usage d’un facteur, un délai d’expiration de cinq minutes s’applique. Après, ils doivent à nouveau déclencher l'utilisation du facteur.

Limites

L’authentification par facteur IdP personnalisé n’est pas prise en charge dans les cas suivants :

Agent IWA Web Okta : l'authentification par facteur d'IdP personnalisé ne peut pas être utilisée avec l'agent Integrated Windows Authentication (IWA) Okta pour l'authentification unique de bureau.
Les intégrations Device Trust qui utilisent la configuration « Non fiable : autoriser avec MFA » échouent.
Les utilisateurs Okta Mobile n’ont pas le lancement d’application SWA et le remplissage automatique du mot de passe ni de sessions longues sur le tableau de bord mobile. Lorsque Support Okta active le facteur IdP personnalisé pour votre org, l’interface web remplace l’IU de l’application.
La MFA pour RDP, la MFA pour ADFS, les connexions RADIUS ou d’autres flux de connexion hors navigateur ne prennent pas en charge le facteur IdP personnalisé.
Le facteur IdP personnalisé ne permet pas d’utiliser Microsoft Azure Active Directory comme fournisseur d’identité. Pour utiliser Microsoft Entra ID comme fournisseur d’identité, consultez Faire d’Azure Active Directory un fournisseur d’identité.

Rubriques connexes

Fournisseurs d'identité

Les politiques d'authentification ;

Authentification multifacteur

Sécurité générale

Zones réseau