Politiques de mot de passe

Les politiques de mots de passe permettent aux administrateurs d'appliquer les paramètres de mot de passe au niveau du groupe et du fournisseur d'authentification. Okta fournit une politique par défaut pour imposer l'utilisation de mots de passe forts afin de mieux protéger les actifs de votre organisation. Vous pouvez créer des politiques supplémentaires, plus ou moins restrictives, et les appliquer aux utilisateurs en fonction de leur appartenance à un groupe.

La politique de mots de passe de groupe est désormais activée pour toutes les organisations :

  • L'onglet Mot de passe de la page Authentification affiche toutes les politiques de mots de passe de groupe. Initialement, seules la stratégie par défaut et la règle par défaut apparaissent.

  • Si la stratégie de mot de passe de groupe n'était pas activée auparavant, l'onglet Mot de passe affiche désormais la stratégie héritée et la nouvelle stratégie par défaut. La politique héritée reflète les paramètres de l'orgprésents lorsque la politique de mots de passe de groupe a été activée et comprend la règle héritée et la règle par défaut supplémentaire.

    La règle par défaut ne peut pas être modifiée.

  • L'option Mot de passe expiré count for users (Nombre de mots de passe expirés pour les utilisateurs) de la page Personnes n'est pas affiché lorsque l'option Politique de mots de passe de groupe est activée. Consultez Faire expirer tous les mots de passe utilisateur.

Utilisez une politique de mots de passe de groupe

Avec les politiques de mots de passe de groupe, vous pouvez effectuer les actions suivantes :

  • Définir des stratégies de mot de passe et des règles associées pour appliquer les paramètres de mot de passe au niveau du groupe et du fournisseur d'authentification.
  • Créer plusieurs stratégies avec des règles plus ou moins restrictives et les appliquer à différents groupes.
  • Utilisez des politiques pour imposer l'utilisation de mots de passe forts afin de mieux protéger les actifs de votre organisation.

Une erreur peut se produire lors de l'approvisionnement lorsque le mot de passe Okta de l'utilisateur répond aux exigences des politiques de mots de passe alors que la politique de mots de passe elle-même ne le fait pas. Assurez-vous que la politique de mots de passe Okta répond aux exigences de l'app : généralement huit caractères ou plus, avec un caractère majuscule et minuscule et un symbole ou un chiffre.

Utilisateurs provenant d'Active Directory et de LDAP

Les politiques de mots de passe de groupe sont appliquées uniquement pour Okta et les utilisateurs provenant d'Active Directory (AD) et de LDAP.

  • Pour les utilisateurs provenant d'AD et de LDAP, assurez-vous que vos politiques de mots de passe AD et LDAP ne sont pas en conflit avec les politiques Okta. Le service de répertoire gère les mots de passe des utilisateurs provenant d'AD et de LDAP. Certaines apps vérifient la politique de mots de passe Okta lorsqu'elles approvisionnent les utilisateurs. Par exemple, Microsoft Office 365 et Google G Suite vérifient que la politique de mots de passe Okta répond aux exigences de l'application en matière de mot de passe.
  • Les options précédentes de la politique de mots de passe de groupe ne sont pas conservées après la désactivation de la fonctionnalité Politique de mot de passe de groupe LDAP.
  • Lorsque la Politique de mot de passe de groupe LDAP est activée, un message de politique de mots de passe personnalisé ne peut pas être utilisé et les messages de politique de mots de passe précédents ne sont pas appliqués.
  • Lorsque l'authentification déléguée LDAP est désactivée, la politique de mots de passe du groupe LDAP ne s'applique plus aux utilisateurs provenant de LDAP.

La politique de mots de passe par défaut est appliquée lorsqu'un utilisateur est créé. L'affectation de groupe sur la politique de mots de passe n'est pas évaluée lors de la création de l'utilisateur.

Classement et évaluation de la politique de mots de passe

Okta fournit une politique par défaut pour imposer l'utilisation de mots de passe forts afin de mieux protéger les actifs de votre organisation. Vous pouvez également créer d'autres politiques, plus ou moins restrictives, et les appliquer aux utilisateurs en fonction de leur appartenance à un groupe.

Lorsque vous ajoutez une politique de mots de passe , elle apparaît en haut de la liste des politiques, au-dessus de la politique par défaut. Vous pouvez réorganiser toutes les politiques sauf celle par défaut. Cliquez et faites glisser une politique vers son nouvel emplacement dans la liste. Placer les politiques plus restrictives au-dessus des politiques moins restrictives. Okta les évalue dans l'ordre dans lequel elles apparaissent dans la liste, en commençant par le haut. Les politiques cessent d'être évaluées lorsque la tentative de connexion de l'utilisateur correspond à une politique.

Lorsqu'un utilisateur définit ou modifie son mot de passe, Okta évalue le mot de passe par rapport aux exigences de vos politiques de mots de passe . Okta rejette le mot de passe s'il ne répond pas aux exigences de complexité de la politique qui s'applique à l'utilisateur.

Pour les utilisateurs provenant d'AD et de LDAP, les exigences de complexité AD et LDAP doivent correspondre aux instances AD et LDAP. Assurez-vous que vos politiques de mots de passe AD et LDAP n'entrent pas en conflit avec les politiques de mots de passe Okta.

Consultez Configurer une politique de mots de passe.

Types de politiques de mots de passe

Il existe quatre types de stratégies de mot de passe :

Stratégie par défaut

Tous les utilisateurs provenant d'Okta sont soumis à la stratégie par défaut, sauf si une autre stratégie s'applique. La stratégie par défaut ne peut pas être désactivée ou supprimée et occupe toujours le rang le plus bas dans la liste des stratégies.

Politique héritée

Dans les versions précédentes de la plateforme, les paramètres de la politique de mots de passe se trouvaient sur la page SécuritéGénéral. Pour les organisations qui ont été créées avant l'activation de la politique de mots de passe de groupe, la politique héritée et les règles héritées associées sont conservées. Les paramètres de stratégie de mot de passe hérités pour une organisation sont copiés dans la stratégie héritée. Tous les paramètres de stratégie et de règle hérités sont configurables.

Politique Active Directory

 Si vous avez déjà une intégration AD, une politique AD est automatiquement créée pour vous. Vous pouvez personnaliser les éléments de la politique et ses règles.

Politique LDAP

 Si vous avez déjà une intégration LDAP, une politique LDAP est automatiquement créée pour vous. Vous pouvez personnaliser les éléments de la politique et ses règles.

Exigences en matière de complexité des mots de passe

Les mots de passe complexes renforcent la sécurité de vos comptes utilisateur. Lorsque vous configurez l'exigence de complexité des mots de passe, tenez compte des informations suivantes :

  • Pour les utilisateurs provenant d'AD, AD définit et applique ces exigences. Les paramètres Okta n'en déclenchent pas l'application. Par conséquent, assurez-vous que ces paramètres dupliquent les paramètres minimaux d'AD.
  • Pour les utilisateurs provenant de LDAP , LDAP définit et applique ces exigences. Les paramètres Okta n'en déclenchent pas l'application. Par conséquent, assurez-vous que ces paramètres dupliquent les paramètres minimaux de LDAP.

  • Pour les utilisateurs qui ne proviennent pas d'AD ni de LDAP :

    Ne comporte aucune partie du nom d'utilisateur : cette exigence rejette tout mot de passe qui contient des parties d'ID de connexion, y compris le nom de domaine, en fonction des délimiteurs (., ,, -, _, # et @). Par exemple, si l'ID de connexion est john.smith@okta.com, sélectionner cette option rejette tout mot de passe contenant john, smith ou okta.

  • Pour les utilisateurs qui ne proviennent pas d'AD ni de LDAP :

    Sélectionnez Ne comporte pas le prénom ou Ne comporte pas le nom de famille pour exclure les prénoms ou noms de famille des utilisateurs des mots de passe. Ces options ne sont pas sensibles à la casse et s'appliquent uniquement aux noms comportant au moins trois caractères.

Rubriques liées

Configurer une politique de mots de passe

Politiques d'inscription MFA

Okta Sign-on Policies

Politiques d'authentification à l'app

Configurer une politique d'authentification Okta

Configurer une stratégie d'inscription MFA

Configurer une politique d'authentification à l'application