Okta sign-on policies

Les politiques sont utilisées par Okta pour contrôler les règles et les paramètres qui régissent, entre autres, la durée de vie de la session de l'utilisateur, si l'authentification multifacteur est requise lors de la connexion, les facteurs MFA qui peuvent être employés, les exigences de complexité du mot de passe, les types d'opérations en libre-service qui sont autorisés et dans quelles circonstances, et le fournisseur d'identité vers lequel diriger les utilisateurs. Les politiques sont soumises à des règles, qui déterminent si elles sont applicables à un utilisateur particulier à un moment donné. Les politiques consistent généralement en de grands éléments qui peuvent être appliqués à de nombreux utilisateurs, comme la longueur minimale d'un mot de passe. Les règles, comme les stratégies, contiennent des conditions qui doivent être respectées pour que la règle soit appliquée. Elles se composent de conditions telles que le lieu et les circonstances, comme l'emplacement géographique ou le fait que l'utilisateur se trouve sur un réseau d'entreprise ou en dehors de celui-ci. Vous pouvez créer un nombre illimité de stratégies pour couvrir un large éventail de scénarios, spécifier l'ordre dans lequel elles sont exécutées et créer plusieurs règles dans celles-ci.

Les stratégies d'authentification Okta peuvent spécifier les actions à entreprendre pour autoriser l'accès, telles que l'autorisation de l'accès, les invites de vérification et le délai avant la prochaine invite de vérification.

Okta fournit une politique par défaut pour chaque type de politique, appelée Défaut. Il s'agit d'une politique obligatoire qui s'applique par défaut aux nouvelles applications ou à tout utilisateur pour lequel les autres politiques de l'org Okta ne s'appliquent pas. Cela garantit qu'il y a toujours une politique à appliquer à un utilisateur dans toutes les situations.

  • Une politique par défaut est obligatoire et ne peut pas être supprimée.

  • Les nouvelles applications (autres qu'Office 365, que Radius et que MFA) sont affectées à la stratégie par défaut.

  • La stratégie par défaut est toujours la dernière stratégie dans l'ordre de priorité. Toute stratégie ajoutée de ce type a une priorité plus élevée que la stratégie par défaut.

  • La politique par défaut comporte toujours une règle par défaut qui ne peut pas être supprimée. Il s'agit toujours de la dernière règle dans l'ordre de priorité. Si vous ajoutez des règles à la politique par défaut, elles ont une priorité plus élevée que la règle par défaut.

En plus de la politique par défaut, il existe une autre politique, appelée Hérité, qui n'est présente que si vous avez déjà configuré MFA. Cette politique reflète les paramètres MFA qui étaient en place lorsque vous avez activé votre politique d'authentification et garantit qu'aucun changement dans le comportement MFA ne se produira à moins que vous ne modifiiez votre politique. Le cas échéant, vous pouvez la supprimer.

Configuration des politiques d'authentification pour les applications RADIUS : si vous créez une politique d'authentification Okta depuis l'Admin Console sous SécuritéAuthentificationAuthentification, elle ne s'applique pas à une application RADIUS. Les politiques d'authentification pour les applications RADIUS doivent toujours être configurées dans le cadre de la configuration de l'application RADIUS. Pour plus d'informations, consultez Ajouter des stratégies d'authentification pour les applications.

Évaluation de la stratégie Okta

Okta fusionne les conditions d'une stratégie et les conditions d'une règle pour déterminer si une stratégie est appliquée à un utilisateur particulier. Lorsqu'une stratégie doit être récupérée pour un utilisateur particulier, par exemple lorsque l'utilisateur tente de se connecter à Okta, ou lorsque l'utilisateur lance une opération en libre-service, une évaluation de la stratégie a lieu. Pendant l'évaluation de la stratégie, chaque stratégie du type approprié est examinée tour à tour, dans l'ordre indiqué par la priorité de la stratégie. Chacune des conditions associées à la stratégie est évaluée. Si une ou plusieurs de ces conditions ne peuvent être remplies, la stratégie suivante de la liste est prise en compte. Si les conditions peuvent être respectées, chacune des règles associées à la stratégie est examinée tour à tour, dans l'ordre spécifié par la priorité de la règle. Chacune des conditions associées à une règle donnée est évaluée. Si toutes les conditions associées à une règle sont remplies, alors les paramètres contenus dans la règle et dans la stratégie associée sont appliqués à l'utilisateur. Si aucune des règles de la politique ne comporte de conditions pouvant être remplies, la politique suivante de la liste est prise en compte.

Par exemple, si vous créez une politique que vous affectez au groupe Administrateurs, vous pouvez créer des conditions adaptées aux besoins des administrateurs. La politique peut contenir une longueur de mot de passe minimale de 12 pour limiter le piratage de mot de passe. Une règle que vous pourriez appliquer à la stratégie peut être une règle qui permet un déverrouillage en libre-service uniquement sous certaines conditions. Voici un autre exemple de condition : savoir si un administrateur particulier se connecte depuis l'intérieur ou l'extérieur du réseau de l'entreprise

Astuces :

  • Une politique qui ne contient aucune règle ne peut pas être appliquée avec succès. Un avertissement indique qu'aucune règle n'existe pour cette politique.
  • Assurez-vous que toutes les règles restrictives sont placées en haut de la liste Priorité.
  • Si « Everyone » est en haut de la liste, les conditions spéciales ne s'appliquent pas et une évaluation de la politique est inutile. Si plusieurs règles sont présentes et que les conditions de la première règle ne sont pas satisfaites, Okta ignore cette règle et évalue la suivante.
  • Pour les événements et les comportements à haut risque, veillez à définir l'exigence Demander le facteur sur À chaque fois.
  • Les options Par appareil et Par session limitent la MFA pour un groupe d'utilisateurs. Parce qu'elles permettent aux utilisateurs de contourner la MFA, elles ne conviennent que pour les cas d'utilisation à faible risque et à faible niveau d'assurance.

Facteurs MFA et politiques d'authentification

La case à cocher Demander le facteur n'est pas active si au moins un facteur n'a pas été choisi dans la page Multifacteur.

Pour accéder à la page et choisir un ou plusieurs facteurs, accédez à SécuritéMultifacteur.

Si un facteur spécifique est spécifié dans une politique, ce facteur ne peut pas être supprimé tant qu'il n'a pas été supprimé de toutes les politiques qui l'exigent. Si la MFA est activée pour votre organisation, vous devez spécifier au moins un facteur. Si un facteur n'est pas spécifié, un message d'erreur apparaît sur la page Multifacteur.

Rubriques liées

Configurer une politique d'authentification Okta

Politiques d'inscription MFA

Politiques de mot de passe

Politiques d'authentification à l'app

Configurer une politique d'inscription MFA

Configurer une stratégie d'authentification à l'application

Configurer une stratégie de mot de passe