Configurer une politique d'authentification Okta

Les politiques d’authentification Okta déterminent qui peut accéder à votre org, depuis où et comment prouver son identité.

Toutes les organisations ont une politique d’authentification Okta par défaut que vous pouvez appliquer à tous les utilisateurs. Vous pouvez créer d’autres politiques d’authentification Okta et les appliquer à des groupes d’utilisateurs spécifiques ou leur donner la priorité sur la politique par défaut. Lorsqu’un utilisateur tente de se connecter, Okta évalue les politiques par ordre de priorité jusqu’à trouver une correspondance. Après que l’utilisateur a obtenu l’accès, aucune autre politique d’authentification Okta n’est évaluée. Par conséquent, Okta recommande de classer vos politiques en plaçant la plus restrictive en haut de liste. Placez la moins restrictive en avant-dernière position et la politique d’authentification Okta Okta par défaut en bas de liste.

Créer une politique d’authentification Okta

  1. Dans la Admin Console, accédez à Sécurité > Authentification.

  2. Cliquez sur l'onglet Authentification.

  3. Cliquez sur Ajouter une nouvelle politique de connexion Okta.

  4. Remplissez ces champs :

    • Nom de la politique : saisissez un nom pour la politique d'authentification.

    • Description de la politique : facultatif. Saisissez une description de la stratégie d'authentification Okta.

    • Assigner aux groupes : saisissez le nom d’un groupe auquel la politique doit s’appliquer. La stratégie peut être appliquée à plusieurs groupes.

  5. Cliquez sur Créer une politique et ajouter une règle.

Ajouter une règle de politique d'authentification Okta

  1. Cliquez sur Ajouter une règle.

  2. Dans le champ Nom de la règle, ajoutez un nom descriptif pour la règle que vous souhaitez créer.

  3. Facultatif. Dans le champ Exclure des utilisateurs, indiquez les utilisateurs individuels d'un groupe que vous souhaitez exclure de la règle.

  4. Indiquez vos conditions, puis cliquez sur Enregistrer.

IF > L’adresse IP de l’utilisateur Utilisez le menu déroulant pour assigner des paramètres de localisation. Vous pouvez spécifier quel type d'emplacement demande une authentification. Si vous spécifiez une zone, n'oubliez pas que les adresses IP sont dynamiques et que leur géolocalisation n'est pas garantie. Ne créez pas de politique qui repose uniquement sur l'emplacement pour refuser l'accès. Consultez Zones réseau et Zones dynamiques.
ET > Le fournisseur d'identité est Sélectionnez le fournisseur d’identité à utiliser. Consultez Fournisseurs d'identité.
ET > S'authentifie via Sélectionnez le moyen d’authentification requis.
ET > Le comportement est Saisissez un type de comportement ou un comportement nommé. Lorsque vous ajoutez plusieurs comportements, ils sont traités comme des conditions OU. Consultez Ajouter un comportement à une règle de politique d'authentification.

Pour les comportements à haut risque, veillez à définir votre exigence de facteur secondaire sur À chaque fois. Ne combinez pas une condition de comportement avec une exigence de facteur secondaire Par appareil ou par session.
ET > Le risque est Sélectionnez un niveau de risque Faible, Moyen ou Élevé. Si vous sélectionnez Élevé, veillez à définir votre exigence de facteur secondaire sur À chaque fois. Ne combinez pas un niveau de risque élevé avec une exigence de facteur secondaire par appareil ou par session.

Consultez Évalutation des risques.
ALORS > L'accès est En fonction de la forme d'authentification de la liste déroulante précédente, utilisez celle-ci pour établir si la condition autorise ou refuse l'accès.

Authentification

Indiquez si l'authentification multifacteur est requise.

Les utilisateurs s'authentifieront avec

Sélectionnez le mode d'authentification des utilisateurs.

  • Mot de passe/n'importe quel IdP : utilisez un mot de passe et n'importe quel fournisseur d'identité configuré pour votre organisation.

  • Mot de passe / Tout IdP + Tout authentificateur : utilisez un mot de passe et tout fournisseur d’identité configuré pour votre org, ainsi que tout facteur configuré pour votre org.

  • Séquence de facteurs : indiquez la séquence de facteurs MFA que les utilisateurs voient lorsqu'ils se connectent à Okta. Consultez Séquençage des facteurs MFA pour les instructions.

Les utilisateurs seront invités à utiliser la MFA

Si les utilisateurs doivent utiliser une MFA, indiquez quand ils sont invités à l’utiliser :
  • À chaque connexion : les utilisateurs sont invités à utiliser la MFA chaque fois qu'ils se connectent à Okta
  • Lors de la connexion avec un nouveau cookie d'appareil : les utilisateurs reçoivent un défi MFA lorsqu’ils se connectent avec un nouvel appareil ou si le cookie est retiré de leur appareil existant. Si les utilisateurs sélectionnent Se rappeler de cet appareil, ils ne sont pas invités à demander la MFA lorsqu'ils se connectent. Cela s'applique tant que le cookie de l'appareil est valide.
  • Après l'expiration de la durée de vie MFA du cookie d'appareil : les utilisateurs reçoivent un défi MFA lorsqu’ils tentent de se connecter après expiration de la durée de vie MFA du cookie. Si les utilisateurs sélectionnent Ne plus me solliciter pour une MFA sur cet appareil pendant les time , ils ne sont pas invités à une MFA lors de la connexion. Cela s'applique tant que le cookie de l'appareil est valide.
    Durée de vie de la MFA : cette option apparaît lorsque vous sélectionnez Après l'expiration de la durée de vie de la MFA pour le cookie de l'appareil. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).
  • Sélectionner par défaut Ne plus me demander la MFA  : sélectionnez cette option pour ne pas demander aux utilisateurs une MFA.

Durée de vie de la session

Configurer la durée des sessions Okta.

Durée de vie maximale de la session globale Okta

Configurez une durée de vie pour la session Okta .

  • Pas de limite de temps : si vous sélectionnez cette option, aucune limite de temps n'est appliquée aux sessions Okta, mais les sessions des utilisateurs expirent tout de même lorsque le temps d'inactivité est atteint.

  • Définir une limite de temps : définissez une limite de temps pour la durée de vie des sessions Okta. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).

Vous pouvez définir la durée de vie de la session Admin Console indépendamment de ce paramètre global. Consultez Configurer la politique de délai d'expiration pour Admin Console.

Durée maximale d'inactivité des sessions globales Okta

Configurez le temps d'inactivité qui s'écoule avant que les sessions Okta n'expirent automatiquement, indépendamment de la durée de vie maximale de la session Okta :

Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).

Vous pouvez définir le délai d'expiration pour Admin Console indépendamment de ce paramètre global. Consultez Configurer la politique de session administrateur.

Les cookies de session globale Okta persistent à travers les sessions du navigateur

Activez ou désactivez la persistance des cookies de session entre les sessions du navigateur. Sélectionnez une option dans la liste déroulante :

  • Activer : autoriser la persistance des cookies de session entre les sessions du navigateur si les utilisateurs le souhaitent. Les utilisateurs doivent sélectionner l'option Rester connecté dans le Sign-In Widget pour activer cette fonctionnalité.

  • Désactiver : ne pas autoriser les cookies de session à persister entre les sessions du navigateur.

Après avoir créé une stratégie d'authentification Okta, vous devez fermer toutes les sessions actives pour que la nouvelle stratégie prenne effet. Les stratégies d'authentification Okta n'affectent pas la validité ou la durée de vie des jetons d'API. Consultez Gérer les jetons d'API Okta.

Actions de la stratégie d'authentification universelle Okta

  • Faites glisser la stratégie dans l'ordre de priorité souhaité.
  • Faites glisser les règles dans une stratégie selon l'ordre de priorité souhaité.
  • Ajoutez une stratégie en sélectionnant Ajouter une nouvelle stratégie d'authentification Okta.

Modifier une stratégie d'authentification Okta

Vous pouvez effectuer les actions suivantes sur une seule stratégie. Sélectionnez la stratégie dans la liste pour commencer.

  • Activez ou désactivez la politique sélectionnée. Si vous désactivez une politique, elle n'est appliquée à aucun utilisateur, mais vous pourrez la réactiver ultérieurement.
  • Cliquez sur Modifier pour modifier la politique.
  • Cliquez sur Supprimer pour supprimer une stratégie. Vous ne pouvez pas supprimer la politique par défaut.
  • Cliquez sur Ajouter une règle pour ajouter une règle à la politique sélectionnée. Dans une stratégie, vous pouvez activer, désactiver, modifier ou supprimer une règle.
  • Pour voir les détails d'une règle, cliquez sur le nom de la règle sous Ajouter une règle.

Politique d'évaluation préalable à l'authentification

Lorsque les utilisateurs se connectent à l'aide de l'API AuthN, leurs politiques d'authentification sont évaluées avant que leur mot de passe ou un autre facteur ne soit vérifié. Cette évaluation permet de réduire le nombre de verrouillages de comptes qui se produisent dans une organisation.

Le message d'erreur Échec de l'authentification s'affichent lorsque les utilisateurs tentent de se connecter alors que la politique d'authentification est définie sur Refuser. Le compteur des tentatives de connexion échouées n'augmente pas dans ce cas. À la place, un événement enregistré indique qu'une évaluation de la stratégie d'authentification préalable à l'authentification a été déclenchée.

Rubriques connexes

Politiques d'authentification d'Okta

Politiques d'inscription MFA

Politiques de mot de passe

Politiques d'authentification à l'app

Configurer une politique d'inscription MFA

Configurer une stratégie d'authentification à l'application

Configurer une stratégie de mots de passe