Configurer une stratégie de mot de passe

Les politiques de mot de passe permettent aux administrateurs de définir des politiques de mot de passe et des règles associées qui appliquent des paramètres de mot de passe au niveau du groupe et du fournisseur d’authentification.

Okta fournit une politique par défaut pour imposer l'utilisation de mots de passe forts afin de mieux protéger les actifs de votre organisation. Vous pouvez également créer d'autres politiques, plus ou moins restrictives, et les appliquer aux utilisateurs en fonction de leur appartenance à un groupe.

Les demandes de réinitialisation de mot de passe formulées par des utilisateurs issus de LDAP peuvent échouer lorsqu’une politique de mot de passe sur un serveur LDAP n’autorise pas les utilisateurs à modifier leur mot de passe. Si une réinitialisation de mot de passe échoue, le journal Agent LDAP Okta fournit le code d'erreur LDAP. Pour créer des politiques de mot de passe permettant aux utilisateurs de modifier leur mot de passe, consultez le manuel du serveur LDAP fourni par l’éditeur.

Après avoir reçu un mot de passe temporaire de leur administrateur, les utilisateurs provenant de LDAP doivent modifier leur mot de passe lors de leur prochaine connexion si la politique de mots de passe du serveur LDAP l'oblige ou l'autorise. Pour créer des politiques de mots de passe qui prennent en charge les mots de passe temporaires, consultez le manuel du serveur LDAP mis à disposition par le fournisseur.

Créer une politique de mot de passe

Dans l'Admin Console, accédez à Sécurité > Authentification.
Cliquez sur l’onglet Mot de passe et sur Ajouter une nouvelle politique de mot de passe.
Renseignez les champs suivants :
- Nom de la politique : saisissez un nom unique pour la politique.
- Description de la politique : saisissez une description pour la politique.
- Ajouter un groupe : saisissez les noms des groupes auxquels la politique s'applique.
Dans la section Fournisseurs d'authentification, sélectionnez la source principale des données utilisateur :
- Okta : créez une politique de mot de passe Okta.
- Active Directory : créez une politique de mot de passe Active Directory (AD).
- LDAP : créez une politique de mot de passe LDAP.
Complétez ces champs dans la section Paramètres du mot de passe :
- Longueur minimum : saisissez une longueur minimale de mot de passe de quatre à 30 caractères (la valeur minimale par défaut est de huit caractères). Pour les utilisateurs provenant d'AD et de LDAP, Active Directory (AD) et LDAP définit et applique ces exigences. Veillez à ce que les paramètres reproduisent au minimum les paramètres d’AD et de LDAP. Okta stocke un maximum de 72 caractères.
- Exigences de complexité : sélectionnez des options pour définir le niveau de complexité exigé pour les mots de passe utilisateur.
- Vérification des mots de passe courants : sélectionnez Restreindre l'utilisation des mots de passe courants pour empêcher l'utilisation de mots de passe communs et faibles.
- Protection contre les mots de passe compromis : Configurez la manière dont Okta répond lorsque les identifiants utilisateur de votre org ont été compromis. Cette fonctionnalité n’est pas disponible dans les politiques de mot de passe utilisées pour les fournisseurs d’authentification LDAP.
  - Définissez l'expiration du mot de passe après ce nombre de jours : les utilisateurs peuvent se connecter avec leurs identifiants compromis pendant un nombre de jours déterminé.
  - Déconnectez immédiatement l'utilisateur d'Okta : les utilisateurs sont immédiatement déconnectés de toutes leurs sessions Okta. Lorsqu'il est utilisé avec le paramètre d'expiration par défaut de 0, l'utilisateur doit définir un nouveau mot de passe avant de se connecter à nouveau.
  - Prendre des mesures personnalisées avec les Workflows : utilisez le modèle Workflows Okta : Envoyer des notifications pour un événement de mot de passe compromis pour informer les utilisateurs lorsque leurs identifiants sont compromis. Ou personnalisez votre réponse avec un flux de travail délégué.
- Ancienneté du mot de passe : sélectionnez ces options :
  - Appliquer l'historique des mots de passe pour les derniers : saisissez le nombre de mots de passe distincts qu'un utilisateur doit créer avant de pouvoir réutiliser un mot de passe précédent. Cela empêche les utilisateurs de réutiliser un mot de passe précédent pendant un certain temps. Vous pouvez configurer ce paramètre de un à 30 mots de passe.
  - L'ancienneté minimale du mot de passe est : saisissez l'intervalle de temps minimal requis entre deux modifications du mot de passe. Ce paramètre permet de s'assurer que les utilisateurs respectent l'exigence relative à l'Application de l'historique des mots de passe pour les derniers mots de passe. Vous pouvez configurer ce paramètre pour un maximum de 9 999 minutes.
  - Le mot de passe expire après : saisissez le nombre de jours pendant lesquels un mot de passe reste valide avant d’être changé. Lorsque le mot de passe d'un utilisateur expire, il doit le changer pour pouvoir se connecter à Okta. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d’avertissement d’expiration si la valeur est inférieure à six jours.
    Pour AD > et LDAP > utilisateurs sourcés : le paramètre Le mot de passe expire après n’apparaît pas. La date d’expiration peut varier et est importée depuis AD et LDAP.
  - Inviter l'utilisateur : saisissez le nombre de jours avant l'expiration du mot de passe pendant lesquels les utilisateurs sont invités à changer leur mot de passe. Les utilisateurs peuvent changer leur mot de passe lorsqu'ils y sont invités, ou attendre la date d'expiration. Vous pouvez configurer ce paramètre pour un maximum de 999 jours. Les utilisateurs ne reçoivent pas d’avertissement d’expiration lorsque la valeur est inférieure à six jours.
  Remarque :
  Les modifications apportées aux paramètres du mot de passe prendront effet la prochaine fois qu'un utilisateur réinitialisera son mot de passe et lorsque le mot de passe arrivera à expiration. Les nouveaux comptes utilisateur sont soumis à vos paramètres de mot de passe actuels lorsque vous créez le compte.
- Verrouiller :
  Sélectionnez ces options :
  - Verrouillage de compte utilisateur après : saisissez le nombre de fois que les utilisateurs peuvent tenter de se connecter à leur compte avec un mot de passe non valide avant que leurs comptes ne soient verrouillés. Le maximum est de 100 tentatives de connexion non valides. Consultez À propos des verrouillages.
  - Le compte est automatiquement déverrouillé après : saisissez le nombre de minutes pendant lesquelles un compte verrouillé reste verrouillé avant d'être déverrouillé automatiquement. Le déverrouillage automatique ne nécessite aucune action supplémentaire de la part de l'utilisateur. Le réglage minimum est d'une minute. Vous pouvez configurer ce paramètre pour un maximum de 9 999 minutes. Il n'est pas activé par défaut.
  - Voir les échecs de verrouillage : alertez les utilisateurs finaux lorsqu'ils ont été verrouillés de leur compte en raison d'un trop grand nombre d'échecs de connexion.
  - Envoyer un e-mail de verrouillage à l'utilisateur : envoyez un e-mail aux utilisateurs lorsque leur compte est verrouillé en raison de trop nombreuses tentatives de connexion échouées. Vous pouvez personnaliser l’e-mail Compte verrouillé dans Paramètres > E-mail et SMS. Vous pouvez également insérer un lien dans l’e-mail pour permettre aux utilisateurs de déverrouiller leur compte. Pour activer le lien, ouvrez l'e-mail approprié et sélectionnez L'utilisateur peut effectuer un déverrouillage de compte en libre-service.
Déverrouiller : si vous avez sélectionné Active Directory comme fournisseur d’authentification, vous pouvez sélectionner ces options :
- Déverrouiller les utilisateurs dans Okta et Active Directory : déverrouillez les comptes utilisateur dans AD et Okta.
- Déverrouiller les utilisateurs uniquement dans Okta : déverrouillez les comptes utilisateur dans Okta.
Remarque :
Si vous créez une nouvelle org développeur, les exigences de mot de passe doivent respecter ou dépasser ces paramètres :
- Longueur minimum : 12 caractères
- Restreindre l'utilisation des mots de passe courants : activé
- Appliquer l'historique des mots de passe pour les derniers mots de passe : les 24 derniers mots de passe
- L'ancienneté minimale du mot de passe est : deux heures
- Verrouiller après : 10 tentatives
Complétez ces champs dans la section Récupération de compte :
Options de récupération en libre-service : sélectionnez ces options :
- SMS : envoyez aux utilisateurs qui ont oublié leur mot de passe un SMS contenant un code de réinitialisation du mot de passe. Les utilisateurs peuvent saisir un numéro de téléphone ou cliquer sur Me le rappeler ultérieurement. Ils reçoivent un rappel lorsqu'ils se connectent le premier jour du mois suivant ou après.
  La question de sécurité est nécessaire pour effectuer une réinitialisation du mot de passe par SMS. Avec une fonctionnalité d’accès anticipé, vous pouvez omettre une question de sécurité du flux de récupération de mot de passe. Cela s’applique uniquement aux utilisateurs Okta et issus d’AD. Pour l’activer, contactez le support Okta.
- Appel vocal : envoyez aux utilisateurs ayant oublié leur mot de passe un appel vocal avec un code de réinitialisation audible.
- E-mail : envoyez aux utilisateurs qui ont oublié leur mot de passe un e-mail contenant un code de réinitialisation du mot de passe.
- Les e-mails de récupération de réinitialisation/déverrouillage sont valides pendant : saisissez le nombre de minutes, d'heures ou de jours pendant lesquels un lien de récupération reste valide avant d'expirer. Les valeurs autorisées pour ce champ sont les suivantes :
  - 60–300000 minutes
  - De 1 à 5 000 heures
  - 1 à 208 jours
Complexité de la question de récupération du mot de passe : saisissez le nombre minimum de caractères que la réponse de sécurité doit contenir.

Remarque :
Les comptes utilisateur sont verrouillés après cinq tentatives de réponse infructueuses à la question de récupération du mot de passe.
Cliquez sur Créer une politique.

Créer une règle de politique de mot de passe

Dans le Admin Console, accédez à Sécurité > Authentification.
Cliquez sur l’onglet Mot de passe.
Cliquez sur Ajouter une règle.
Renseignez les champs suivants :
- Nom de la règle : saisissez un nom pour la règle.
- Exclure les utilisateurs : commencez à saisir le nom d’un utilisateur à exclure de la règle. Au fur et à mesure que vous saisissez du texte, Okta suggère des noms d'utilisateurs qui correspondent à votre texte. Sélectionnez l’utilisateur souhaité dans la liste. Répétez l'opération pour chaque utilisateur supplémentaire que vous souhaitez exclure.
- IF L'adresse IP de l'utilisateur est :
  - N'importe où : appliquez la règle à tous les utilisateurs, que leur adresse IP figure ou non dans la liste des IP de la passerelle publique.
  - Dans la zone : appliquez la règle aux utilisateurs de toutes les zones ou de zones spécifiques. Cochez Toutes les zones pour saisir les zones spécifiques que vous souhaitez utiliser dans le champ Zones.
  - Pas dans la zone : appliquez la règle aux utilisateurs en dehors de toutes les zones ou de zones spécifiques. Cochez Toutes les zones pour saisir les zones spécifiques que vous souhaitez utiliser dans le champ Zones.
    Consultez Zones du réseau pour plus d'informations sur la liste des adresses IP de passerelle publique et les fonctionnalités des zones IP.
- ALORS l'utilisateur peut :
  - Modifier le mot de passe : autorisez les utilisateurs à modifier leur mot de passe et rendez l’option effectuer une réinitialisation de mot de passe en libre-service disponible.
  - effectuer une réinitialisation de mot de passe en libre-service : autorisez les utilisateurs incapables de se connecter ou ayant oublié leur mot de passe à effectuer des réinitialisations en libre-service et affichez Mot de passe oublié ? sur le Sign-In Widget.
  - effectuer un déverrouillage de compte en libre-service : autorisez les utilisateurs à déverrouiller leur compte en cliquant sur le lien Déverrouiller le compte ? sur le Sign-In Widget. Lorsque vous sélectionnez cette option pour les utilisateurs Okta issus de LDAP, le compte est déverrouillé dans Okta, mais reste verrouillé dans l’instance LDAP sur site. Si vous n’autorisez pas le déverrouillage en libre-service, consultez Réinitialiser le mot de passe d'un utilisateur.
Cliquez sur Créer une règle.

À propos des verrouillages

Verrouillage souple AD / LDAP

Okta peut aider à empêcher les utilisateurs issus d’AD et de LDAP à être verrouillés hors de leur compte Windows et de leur appareil en raison de trop nombreuses tentatives de connexion Okta échouées. Cette fonctionnalité contribue également à empêcher un tiers malveillant d’utiliser Okta pour verrouiller des utilisateurs.

Pour éviter les verrouillages Active Directory et LDAP, vérifiez que la valeur saisie pour Verrouiller l'utilisateur après <# > tentatives infructueuses est inférieure à la limite de tentatives de connexion échouées configurée dans AD et LDAP. Par exemple, si le nombre maximal de tentatives de connexion Windows ayant échoué est défini sur 10 dans AD et LDAP, Okta recommande de définir votre limite maximale de Okta échecs de connexion sur 9. Si un utilisateur dépasse la limite de connexion définie dans Okta, les autres tentatives échouées ne sont pas envoyées à AD ni à LDAP. Cela empêche les utilisateurs de se verrouiller eux-mêmes hors de leur compte Windows. Dans AD, les utilisateurs verrouillés d'Okta peuvent utiliser le déverrouillage de compte en libre-service ou demander l'aide d'un administrateur d'Okta. Seuls les administrateurs peuvent déverrouiller les comptes issus de LDAP.

Détecter les verrouillages causés par des appareils inconnus

Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Okta empêche également les utilisateurs issus de Okta d’être verrouillés hors de leurs comptes Okta en raison de trop nombreuses tentatives de connexion Okta ayant échoué. Cette fonctionnalité ajoute la possibilité de bloquer les tentatives de connexion suspectes provenant d'appareils inconnus.

Okta peut détecter si les tentatives de connexion proviennent d’un appareil connu ou inconnu. Un appareil connu est un appareil déjà utilisé pour se connecter à Okta. Un appareil inconnu n’a jamais été utilisé pour se connecter à Okta.

Si Okta détermine que les tentatives échouées proviennent d’un appareil inconnu, Okta verrouille les nouvelles tentatives depuis des appareils inconnus. Okta autorise toujours les utilisateurs à se connecter depuis des appareils connus. Cela contribue à empêcher des tiers malveillants de perturber l’accès des utilisateurs Okta à leurs comptes et renforce la protection des comptes.

La durée minimale de verrouillage pour les verrouillages déclenchés par des appareils inconnus est de deux heures. Si un utilisateur légitime doit se connecter à partir d'un nouvel appareil pendant cette période, Okta lance le flux de déverrouillage de compte en libre-service (si l'administrateur de l'organisation l'a activé). Lorsque l’utilisateur déverrouille le compte, il peut se connecter depuis le nouvel appareil.

Les administrateurs n'ont pas besoin de configurer de paramètres pour activer cette fonctionnalité.

Limitations connues

Les comptes dont l'accès a été verrouillé en raison d'un appareil inconnu n'apparaissent pas dans l'Admin Console. Les administrateurs ne peuvent pas déverrouiller ces comptes. Activez la fonctionnalité de déverrouillage de compte en libre-service afin que ces utilisateurs n'aient pas à attendre l'expiration du verrouillage avant de pouvoir accès à leur compte. Consultez Options de récupération en libre-service.

Rubriques connexes

Politiques de mot de passe

Politiques d'inscription MFA

Politiques d'authentification d'Okta

Politiques d'authentification à l'app

Configurer une politique d'authentification Okta

Configurer une politique d'inscription MFA

Configurer une stratégie d'authentification à l'application