Configurer une politique d'authentification à l'application
Les politiques d'authentification à l'app vous permettent de configurer les règles pour accéder aux apps. Elle vérifie que les utilisateurs qui tentent de se connecter à l'appli remplissent des conditions spécifiques, et elle applique des exigences de facteur en fonction de ces conditions.
Vous créez une politique d'authentification à l'app puis configurez les règles associées :
Créez une politique d'authentification à l'app.
-
Dans Admin Console, accédez à .
- Cliquez sur l'application souhaitée.
- Cliquez sur l'onglet Authentification.
- Faites défiler vers le bas pour atteindre la section Politique d'authentification.
Configurer une politique d'authentification à l'app
- Cliquez sur Ajouter une règle.
- Saisissez un nom dans le champ Nom de la règle.
- Dans la section Personnes, affectez cette app aux utilisateurs et aux groupes, ou sélectionnez les utilisateurs et les groupes à exclure de cette app :
- Utilisateurs affectés à cette app : sélectionnez cette option pour permettre aux utilisateurs et aux groupes d'être affectés à cette app depuis un profil utilisateur ou une définition de groupe.
- Les groupes et utilisateurs suivants : sélectionnez cette option pour affecter l'app aux groupes ou aux utilisateurs que vous spécifiez.
- Groupes : saisissez les premiers caractères du nom d'un groupe et sélectionnez-le lorsqu'il apparaît dans le champ. Répétez l'opération pour chaque groupe supplémentaire.
- Utilisateurs : saisissez les premiers caractères d'un nom d'utilisateur et sélectionnez-le lorsqu'il apparaît dans le champ. Répétez l'opération pour chaque nom d'utilisateur.
- Exclure les utilisateurs et groupes suivants de cette règle : sélectionnez cette option pour spécifier les groupes et les utilisateurs que vous souhaitez exclure de l'app.
- Groupes exclus
- Saisissez les premiers caractères d'un nom de groupe et sélectionnez-le lorsqu'il apparaît dans le champ. Répétez l'opération pour chaque groupe supplémentaire.
- Utilisateurs exclus
- Saisissez les premiers caractères d'un nom d'utilisateur et sélectionnez-le lorsqu'il apparaît. Répétez l'opération pour chaque nom d'utilisateur.
- Configurez les emplacements pour la règle. Si vous spécifiez une zone, n'oubliez pas que les adresses IP sont dynamiques et que leur géolocalisation n'est pas garantie. Ne créez pas de politique qui repose uniquement sur l'emplacement pour refuser l'accès.
- N'importe où : permet aux utilisateurs de se connecter depuis n'importe où lorsqu'ils tentent d' accès à l'app.
- Dans la zone: autorisez les utilisateurs à se connecter uniquement à partir des zones du réseau que vous spécifiez lorsqu'ils tentent d'accéder à l'app.
- Pas dans la zone : bloquez les utilisateurs pour les empêcher d'accéder aux apps depuis les zones du réseau que vous spécifiez.
- Spécifiez les zones du réseau depuis lesquelles vous autorisez ou bloquez les connexions :
- Toutes les zones : sélectionnez cette option pour autoriser ou bloquer les connexions depuis toutes les zones du réseau.
- Type de zone à ajouter : ce champ apparaît si vous laissez Toutes les zones désélectionné. Cliquez dans ce champ. Saisissez les premiers caractères d'un nom de zone du réseau et sélectionnez-le lorsqu'il apparaît. Répétez l'opération pour chaque nom de zone du réseau supplémentaire. Consultez Zones du réseau et Zones dynamiques.
- Pour les apps Microsoft 365/Office 365 uniquement : dans la section Client , sélectionnez les plateformes que vous souhaitez évaluer en fonction des règles de politique d'accès pour le client. Vous pouvez déclencher des actions que vous configurez dans la section Actions (navigateur Web ou client Authentification moderne).
- Dans la section Accès, configurez les actions que vous souhaitez appliquer si les conditions de cette politique sont remplies :
- Autorisé : autorise l' utilisateur à accéder à l'app. Configurez les réponses à d'authentification multifacteur :
- Demande de réauthentification : pour les apps SAML uniquement Indiquez la fréquence à laquelle vous souhaitez que les utiilisateurs soient invités à se réauthentifier. La période que vous spécifiez commence à partir du moment où l'utilisateur s'est authentifié pour la dernière fois dans Okta. Lorsque vous sélectionnez cette option, l'option L'utilisateur est invité à ressaisir son mot de passe après n minutes apparaît. Saisissez un nombre pour l'intervalle de temps dans le champ.
Une période de grâce de 10 secondes s'applique après qu'un utilisateur se soit authentifié avec son mot de passe. Pendant cette période de grâce, Okta n'invite plus les utilisateurs à saisir leur mot de passe si l'option Chaque connexion est sélectionnée.
Cette fonctionnalité est disponible pour toutes les applications configurées avec SAML.
Les apps SWA ne prenant pas en charge la réauthentification, vous ne pouvez pas remplacer la méthode d'authentification SAML par SWA si la réauthentification est sélectionnée.
- Demander le facteur : demander aux utilisateurs de choisir un facteur MFA et d'indiquer la fréquence à laquelle vous souhaitez qu'Okta invite les utilisateurs. Consultez Configuration des facteurs MFA.
- Demande de réauthentification : pour les apps SAML uniquement Indiquez la fréquence à laquelle vous souhaitez que les utiilisateurs soient invités à se réauthentifier. La période que vous spécifiez commence à partir du moment où l'utilisateur s'est authentifié pour la dernière fois dans Okta. Lorsque vous sélectionnez cette option, l'option L'utilisateur est invité à ressaisir son mot de passe après n minutes apparaît. Saisissez un nombre pour l'intervalle de temps dans le champ.
- Refusé : empêchez l'utilisateur d'accéder à l'app.
- Autorisé : autorise l' utilisateur à accéder à l'app. Configurez les réponses à d'authentification multifacteur :
- Cliquez sur Enregistrer.
Hiérarchiser les règles
Définissez la priorité des règles en cliquant sur les flèches bleues pour définir le numéro de priorité. Une règle avec une valeur de priorité 1 a la priorité sur toutes les autres règles.
Gérer les règles
- Pour modifier une règle, cliquez sur l'icône du crayon et sélectionnez l'option Modifier la règle.
- Pour désactiver une règle, cliquez sur l'icône du crayon et sélectionnez l'option Désactiver la règle.
- Pour supprimer une règle, cliquez sur l'icône X.
Expérience utilisateur
Une fois que vous avez configuré le MFA au niveau de l'application , Okta invite les utilisateurs à s'inscrire à des facteurs auxquels ils ne sont pas encore inscrits. S'ils sont inscrits à tous les facteurs nécessaires pour accéder à l'app, Okta les invite à s'authentifier.
Si l'authentification d'un utilisateur à une app est bloquée, le message suivant apparaît :
- L'accès à cette application n'est pas autorisé pour le moment en raison d'une politique définie par votre administrateur.
- Si vous vous demandez pourquoi cela se produit, veuillez contacter votre administrateur.
- Si cela peut vous consoler, nous pouvons vous amener à votre page d'accueil Okta.