Configurer une politique de mots de passe

Les politiques de mots de passe permettent aux administrateurs de définir des politiques de mots de passe et des règles associées pour appliquer les paramètres de mot de passe au niveau du groupe et du fournisseur d'authentification.

Okta fournit une politique par défaut pour imposer l'utilisation de mots de passe forts afin de mieux protéger les actifs de votre organisation. Vous pouvez également créer d'autres politiques, plus ou moins restrictives, et les appliquer aux utilisateurs en fonction de leur appartenance à un groupe.

Les requêtes de réinitialisation de mot de passe effectuées par des utilisateurs provenant de LDAP (Lightweight Directory Access Protocol) peuvent échouer lorsqu'une politique de mots de passe sur un serveur LDAP n'autorise pas les utilisateurs à modifier leur mot de passe. Si une réinitialisation de mot de passe échoue, le journal Agent LDAP Okta fournit le code d'erreur LDAP. Pour créer des politiques de mots de passe qui permettent aux utilisateurs de modifier leur mot de passe, consultez le manuel du serveur LDAP fourni par votre fournisseur.

Après avoir reçu un mot de passe temporaire de leur administrateur, les utilisateurs provenant de LDAP doivent modifier leur mot de passe lors de leur prochaine connexion si la politique de mots de passe du serveur LDAP l'oblige ou l'autorise. Pour créer des politiques de mots de passe qui prennent en charge les mots de passe temporaires, consultez le manuel du serveur LDAP mis à disposition par le fournisseur.

Créer une politique de mots de passe

  1. Dans Admin Console, allez à SécuritéAuthentification.
  2. Cliquez sur l'onglet Mot de passe et sur Ajouter une nouvelle politique de mots de passe.
  3. Renseignez les champs suivants :
    • Nom de la politique : saisissez un nom unique pour la politique.
    • Description de la politique : saisissez une description pour la politique.
    • Ajouter un groupe : saisissez les noms des groupes auxquels la politique s'applique.
  4. Dans la section Fournisseurs d'authentification, sélectionnez la source principale des données utilisateur :
    • Okta : créez une politique de mots de passe Okta.
    • Active Directory : créez une politique de mots de passe Active Directory (AD).
    • LDAP : créez une politique de mots de passe LDAP.
  5. Complétez ces champs dans la section Paramètres du mot de passe :
    • Longueur minimum : saisissez une longueur minimale de mot de passe de quatre à 30 caractères (la valeur minimale par défaut est de huit caractères). Pour les utilisateurs provenant d'AD et de LDAP, Active Directory (AD) et LDAP définit et applique ces exigences. Assurez-vous que les paramètres dupliquent les paramètres minimaux d'AD et de LDAP. Okta stocke un maximum de 72 caractères.
    • Exigences de complexité : sélectionnez des options pour définir le niveau de complexité requis pour les mots de passe des utilisateurs.
    • Vérification des mots de passe courants : sélectionnez Restreindre l'utilisation des mots de passe courants pour empêcher l'utilisation de mots de passe communs et faibles.
    • Protection des mots de passe en cas de violation : accès anticipé. Configurez la manière dont Okta répond lorsque les identifiants utilisateur de votre org ont été compromis. Cette fonctionnalité n'est pas proposée dans les politiques de mots de passe utilisées pour les fournisseurs authentification LDAP.
      • Définissez l'expiration du mot de passe après ce nombre de jours : les utilisateurs peuvent se connecter avec leurs identifiants compromis pendant un nombre de jours déterminé.
      • Déconnectez immédiatement l'utilisateur d'Okta : les utilisateurs sont immédiatement déconnectés de toutes leurs sessions Okta. Lorsqu'il est utilisé avec le paramètre d'expiration par défaut de 0, l'utilisateur doit définir un nouveau mot de passe avant de se connecter à nouveau.
      • Effectuez des actions personnalisées à l'aide des workflows : utilisez le modèle Okta Workflows : envoyer des notifications en cas d'événement de mot de passe compromis Workflow pour informer des utilisateusr lorsque leurs identifiants ont été compromis. Ou personnalisez votre réponse à l'aide d'un workflow délégué.
    • Ancienneté du mot de passe : sélectionnez ces options :
      • Appliquer l'historique des mots de passe pour les derniers : saisissez le nombre de mots de passe distincts qu'un utilisateur doit créer avant de pouvoir réutiliser un mot de passe précédent. Cela empêche les utilisateurs de réutiliser un mot de passe précédent pendant un certain temps. Vous pouvez configurer ce paramètre de un à 30 mots de passe.
      • L'ancienneté minimale du mot de passe est : saisissez l'intervalle de temps minimal requis entre deux modifications du mot de passe. Ce paramètre permet de s'assurer que les utilisateurs respectent l'exigence relative à l'Application de l'historique des mots de passe pour les derniers mots de passe. Vous pouvez configurer ce paramètre pour un maximum de 9 999 minutes.
      • Le mot de passe expire après : saisissez le nombre de jours pendant lesquels un mot de passe reste valide avant de devoir être modifié. Lorsque le mot de passe d'un utilisateur expire, il doit le changer pour pouvoir se connecter à Okta. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d'avertissement d'expiration si la valeur est inférieure à six jours.

        Pour utilisateurs provenant d'AD et de LDAP : le paramètreLe mot de passe expire après n'apparaît pas. La date d'expiration peut varier et est importée depuis AD et LDAP.

      • Inviter l'utilisateur : saisissez le nombre de jours avant l'expiration du mot de passe pendant lesquels les utilisateurs sont invités à changer leur mot de passe. Les utilisateurs peuvent changer leur mot de passe lorsqu'ils y sont invités, ou attendre la date d'expiration. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d'avertissement d'expiration lorsque la valeur est inférieure à six jours.

      Les modifications apportées aux paramètres du mot de passe prendront effet la prochaine fois qu'un utilisateur réinitialisera son mot de passe et lorsque le mot de passe arrivera à expiration. Les nouveaux comptes utilisateur sont soumis à vos paramètres de mot de passe actuels lorsque vous créez le compte.

    • Verrouiller :

      Sélectionnez ces options :

      • Verrouillage de compte utilisateur après : saisissez le nombre de fois que les utilisateurs peuvent tenter de se connecter à leur compte avec un mot de passe non valide avant que leurs comptes ne soient verrouillés. Le maximum est de 100 tentatives de connexion non valides. Consultez À propos des verrouillages.
      • Le compte est automatiquement déverrouillé après : saisissez le nombre de minutes pendant lesquelles un compte verrouillé reste verrouillé avant d'être déverrouillé automatiquement. Le déverrouillage automatique ne nécessite aucune action supplémentaire de la part de l'utilisateur. Le réglage minimum est d'une minute. Vous pouvez configurer ce paramètre pour un maximum de 9 999 minutes. Il n'est pas activé par défaut.
      • Voir les échecs de verrouillage : alertez les utilisateurs finaux lorsqu'ils ont été verrouillés de leur compte en raison d'un trop grand nombre d'échecs de connexion.
      • Envoyer un e-mail de verrouillage à l'utilisateur : envoyez un e-mail aux utilisateurs lorsque leur compte est verrouillé en raison d'un trop grand nombre d'échecs de connexion. Vous pouvez personnaliser l'e-mail Compte verrouillé dans ParamètresE-mail et SMS. Vous pouvez également insérer un lien dans l'e-mail pour permettre aux utilisateurs de déverrouiller leur compte. Pour activer le lien, ouvrez l'e-mail approprié et sélectionnez L'utilisateur peut effectuer un déverrouillage de compte en libre-service.
    • Déverrouiller : si vous avez sélectionné Active Directory comme fournisseur d'authentification, vous pouvez sélectionner ces options :
      • Déverrouiller les utilisateurs dans Okta et Active Directory : déverrouillze les comptes utilisateurs dans AD et Okta.
      • Déverrouiller les utilisateurs dans Okta uniquement : déverrouillez les comptes utilisateurs dans Okta.

    Si vous créez une nouvelle org de développeur, les exigences en matière de mots de passe doivent respecter ou aller au-delà de ces paramètres :

    • Longueur minimum : 12 caractères
    • Restreindre l'utilisation des mots de passe courants : activé
    • Appliquer l'historique des mots de passe pour les derniers mots de passe : les 24  derniers mots de passe
    • L'ancienneté minimale du mot de passe est : deux heures
    • Verrouiller après : 10 tentatives
  6. Complétez ces champs dans la section Récupération de compte :

    Options de récupération en libre-service : sélectionnez ces options :

    • SMS : envoyez aux utilisateurs qui ont oublié leur mot de passe un SMS contenant un code de réinitialisation du mot de passe. Les utilisateurs peuvent saisir un numéro de téléphone ou cliquer sur Me le rappeler ultérieurement. Ils reçoivent un rappel lorsqu'ils se connectent le premier jour du mois suivant ou après.

      La question de sécurité est nécessaire pour effectuer une réinitialisation du mot de passe par SMS. Avec une fonctionnalité en accès anticipé, vous pouvez omettre une question de sécurité du flux de récupération du mot de passe. Ceci s'applique uniquement aux utilisateurs Okta et provenant d'AD. Pour l'activer, contactez l'assistance Okta.

    • Appel vocal : envoyez aux utilisateurs qui ont oublié leur mot de passe un appel vocal avec un code de réinitialisation du mot de passe audible.

    • E-mail : envoyez aux utilisateurs qui ont oublié leur mot de passe un e-mail contenant un code de réinitialisation du mot de passe.

    • Les e-mails de récupération de réinitialisation/déverrouillage sont valides pendant : saisissez le nombre de minutes, d'heures ou de jours pendant lesquels un lien de récupération reste valide avant d'expirer. Les valeurs autorisées pour ce champ sont les suivantes :
      • 60–300000 minutes
      • De 1 à 5 000 heures
      • 1 à 208 jours

    Complexité de la question de récupération du mot de passe : saisissez le nombre minimum de caractères que la réponse de sécurité doit contenir.

    Les comptes utilisateur sont verrouillés après cinq tentatives de réponse infructueuses à la question de récupération du mot de passe.

  7. Cliquez sur Créer une politique.

Créer une règle de stratégie de mot de passe

  1. Dans Admin Console, allez à SécuritéAuthentification.

  2. Cliquez sur l'onglet Mot de passe.
  3. Cliquez sur Ajouter une règle.
  4. Renseignez les champs suivants :
    • Nom de la règle : saisissez un nom pour la règle.
    • Exclure des utilisateurs : commencez à saisir le nom d'un utilisateur que vous voulez exclure de la règle. Au fur et à mesure que vous saisissez du texte, Okta suggère des noms d'utilisateurs qui correspondent à votre texte. Sélectionnez l'utilisateur souhaité dans la liste. Répétez l'opération pour chaque utilisateur supplémentaire que vous souhaitez exclure.
    • IF L'adresse IP de l'utilisateur est :
      • N'importe où : appliquez la règle à tous les utilisateurs, que leur adresse IP figure ou non dans la liste des IP de la passerelle publique.
      • Dans la zone : appliquez la règle aux utilisateurs de toutes les zones ou de zones spécifiques. Cochez Toutes les zones pour saisir les zones spécifiques que vous souhaitez utiliser dans le champ Zones.
      • Pas dans la zone : appliquez la règle aux utilisateurs en dehors de toutes les zones ou de zones spécifiques. Cochez Toutes les zones pour saisir les zones spécifiques que vous souhaitez utiliser dans le champ Zones.

        Consultez Zones du réseau pour plus d'informations sur la liste des adresses IP de passerelle publique et les fonctionnalités des zones IP.

    • ALORS l'utilisateur peut :
      • Modifier le mot de passe : permettez aux utilisateurs de modifier leur mot de passe et mettez à disposition l'option de réinitialiser le mot de passe en libre-service.
      • Réinitialiser le mot de passe en libre-service : permettez aux utilisateurs qui ne parviennent pas à se connecter ou qui ont oublié leur mot de passe de réinitialiser leur mot de passe en libre-service et faites apparaître Mot de passe oublié ? sur le Sign-In Widget.
      • Déverrouiller le compte en libre-service : permettez aux utilisateurs de déverrouiller leur compte en cliquant sur le lien Déverrouiller le compte ? sur le Sign-In Widget. Lorsque vous sélectionnez cette option pour les utilisateurs Okta provenant de LDAP, le compte est déverrouillé dans Okta, mais il reste verrouillé dans l'instance LDAP sur site. Si vous n'autorisez pas le déverrouillage en libre-service, consultez Réinitialiser le mot de passe d'un utilisateur.
  5. Cliquez sur Créer une règle.

À propos des verrouillages

Verrouillage souple AD/LDAP

Okta peut éviter que les utilisateurs provenant d'AD et de LDAP ne soient verrouillés de leur compte Windows et de leur appareil matériel en raison d'un trop grand nombre d'échecs de connexion à Okta. Cette fonctionnalité permet également d'empêcher un tiers malveillant d'utiliser Okta pour verrouiller les utilisateurs.

Pour éviter les verrouillages Active Directory et LDAP, vérifiez que le nombre saisi pour Verrouillage de compte utilisateur après <# tentatives de connexioninfructueuses est inférieur à la limite de tentatives de connexion échouées configurée dans AD et LDAP. Par exemple, si le nombre maximal d'échecs de connexion Windows est défini à 10 dans AD et LDAP, Okta recommande de fixer votre limite maximale d'échec de connexion Okta à 9. Si un utilisateur dépasse la limite d'échec de connexion définie dans Okta, les tentatives d'échec supplémentaires ne sont pas envoyées à AD ou LDAP. Cela empêche les utilisateurs de se verrouiller hors de leur compte Windows. Dans AD, les utilisateurs verrouillés d'Okta peuvent utiliser le déverrouillage de compte en libre-service ou demander l'aide d'un administrateur d'Okta. Seuls les administrateurs peuvent déverrouiller les comptes provenant de LDAP.

Détecter les verrouillages causés par des appareils inconnus

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Okta évite également que les utilisateurs provenant d'Okta ne soient verrouillés de leurs comptes Okta à la suite d'un trop grand nombre d'échecs de connexion Okta. Cette fonctionnalité ajoute la possibilité de bloquer les tentatives de connexion suspectes provenant d'appareils inconnus.

Okta peut détecter si les tentatives de connexion proviennent d'un appareil connu ou inconnu. Un appareil connu est un appareil qui a déjà été utilisé pour se connecter à Okta. Un appareil inconnu n'a jamais été utilisé pour se connecter à Okta.

Si Okta détermine que les tentatives de connexion échouées proviennent d'un appareil inconnu, Okta bloque les nouvelles tentatives de connexion provenant d'appareils inconnus. Okta permet toujours aux utilisateurs de se connecter à partir d'appareils connus. Cela permet d'empêcher les parties malveillantes de perturber l'accès des utilisateurs d'Okta à leur compte et de renforcer la protection des comptes.

La durée minimale de verrouillage pour les verrouillages déclenchés par des appareils inconnus est de deux heures. Si un utilisateur légitime doit se connecter à partir d'un nouvel appareil pendant cette période, Okta lance le flux de déverrouillage de compte en libre-service (si l'administrateur de l'organisation l'a activé). Lorsque l'utilisateur déverrouille le compte, il est autorisé à se connecter à partir du nouvel appareil.

Les administrateurs n'ont pas besoin de configurer de paramètres pour activer cette fonctionnalité.

Limitations connues

Les comptes dont l'accès a été verrouillé en raison d'un appareil inconnu n'apparaissent pas dans l'Admin Console. Les administrateurs ne peuvent pas déverrouiller ces comptes. Activez la fonctionnalité de déverrouillage de compte en libre-service afin que ces utilisateurs n'aient pas à attendre l'expiration du verrouillage avant de pouvoir accès à leur compte. Consultez Options de récupération en libre-service.

Rubriques liées

Politiques de mot de passe

Politiques d'inscription MFA

Okta Sign-on Policies

Politiques d'authentification à l'app

Configurer une politique d'authentification Okta

Configurer une stratégie d'inscription MFA

Configurer une politique d'authentification à l'application