Configurer une politique d'authentification Okta

Les politiques d'authentification Okta déterminent quel utilisateur peuvent accéder à votre org, d'où il peut accéder et comment ils doivent prouver leur identité.

Toutes les orgs adoptent une politique d'authentification par défaut qui s'applique à tous les utilisateurs. Vous pouvez créer plus de politiques d'authentification Okta et les appliquer à des groupes d'utilisateurs spécifiques, ou les classer par rapport à la valeur par défaut. Lorsqu'un utilisateur tente de se connecter, Okta évalue les politiques en fonction de leur ordre de priorité jusqu'à ce qu'elle trouve une correspondance. Une fois l'accès obtenu par l'utilisateur, aucune autre politique d'authentification Okta n'est évaluée. Par conséquent, Okta vous recommande de classer vos politiques en plaçant la plus restrictive en haut de la liste. Placez la moins restrictive en avant-dernière position et la politique d'authentification Okta par défaut en bas de la liste.

Créer une politique d'authentification Okta

  1. Dans l'Admin Console, allez à SécuritéAuthentification.

  2. Cliquez sur l'onglet Authentification.

  3. Cliquez sur Ajouter une nouvelle Okta Sign-on Policy.

  4. Renseignez les champs suivants :

    • Nom de la politique : saisissez un nom pour la politique d'authentification.

    • Description de la politique : facultatif. Saisissez une description de la stratégie d'authentification Okta.

    • Affecter à des groupes : saisissez le nom d'un groupe auquel la stratégie doit être appliquée. La stratégie peut être appliquée à plusieurs groupes.

  5. Cliquez sur Créer une stratégie et Ajouter une règle.

Ajouter une règle de politique d'authentification Okta

  1. Cliquez sur Ajouter une règle.

  2. Dans le champ Nom de la règle, ajoutez un nom descriptif pour la règle que vous souhaitez créer.

  3. Facultatif. Dans le champ Exclure des utilisateurs, indiquez les utilisateurs individuels d'un groupe que vous souhaitez exclure de la règle.

  4. Indiquez vos conditions, puis cliquez sur Enregistrer.

IFL'adresse IP de l'utilisateur est Utilisez le menu déroulant pour affecter des paramètres d'emplacement. Vous pouvez spécifier quel type d'emplacement demande une authentification. Si vous spécifiez une zone, n'oubliez pas que les adresses IP sont dynamiques et que leur géolocalisation n'est pas garantie. Ne créez pas de politique qui repose uniquement sur l'emplacement pour refuser l'accès. Consultez Zones du réseau et Zones dynamiques.
ET Le fournisseur d'identité est Sélectionnez le fournisseur d'identité que vous souhaitez utiliser. Consultez Fournisseurs d'identité.
ET S'authentifie avec Sélectionnez les moyens d'authentification requis.
ET Le comportement est Saisissez un type de comportement ou un comportement nommé. Lorsque vous ajoutez plusieurs comportements, ils sont traités comme des conditions OU. Consultez Ajouter un comportement à une règle de politique d'authentification.

Pour les comportements à haut risque, veillez à définir votre exigence de facteur secondaire sur À chaque fois. Ne combinez pas une condition de comportement avec une exigence de facteur secondaire par appareil ou par session.

Okta recommande d'appliquer la réauthentification à chaque fois pour Okta Admin Console.
ET Le niveau de risque est Sélectionnez un niveau de risque faible, moyen ou élevé. Si vous sélectionnez Élevé, veillez à définir votre exigence de facteur secondaire sur À chaque fois. Ne combinez pas un niveau de risque élevé avec une exigence de facteur secondaire par appareil ou par session.

Consultez Évalutation des risques.
ALORS L'accès est En fonction de la forme d'authentification de la liste déroulante précédente, utilisez celle-ci pour établir si la condition autorise ou refuse l'accès.

Authentification

Indiquez si l'authentification multifacteur est requise.

Les utilisateurs s'authentifieront avec

Sélectionnez le mode d'authentification des utilisateurs.

  • Mot de passe/n'importe quel IdP : utilisez un mot de passe et n'importe quel fournisseur d'identité configuré pour votre organisation.

  • Password / Any IdP + Any authenticator (Mot de passe/n'importe quel IdP + n'importe quel Authenticator) : utilisez un mot de passe, n'importe quel IdP configuré pour votre organisation et n'importe quel facteur configuré pour votre organisation.

  • Séquence de facteurs : indiquez la séquence de facteurs MFA que les utilisateurs voient lorsqu'ils se connectent à Okta. Consultez Séquençage de facteur MFA pour obtenir des instructions.

Les utilisateurs seront invités à utiliser la MFA

Si les utilisateurs doivent utiliser la MFA, indiquez quand ils seront invités à l'utiliser :
  • À chaque connexion : les utilisateurs sont invités à utiliser la MFA chaque fois qu'ils se connectent à Okta.
  • Lorsqu'un utilisateur est réactivé dans l'application : les utilisateurs sont invités à utiliser la MFA lorsqu'ils se connectent avec un nouvel appareil ou si le cookie est supprimé de leur appareil existant. Si les utilisateurs sélectionnent Se rappeler de cet appareil, ils ne sont pas invités à demander la MFA lorsqu'ils se connectent. Cela s'applique tant que le cookie de l'appareil est valide.
  • Après l'expiration de la durée de vie de la MFA pour le cookie de l'appareil : les utilisateurs sont invités à utiliser la vérification par MFA lorsqu'ils tentent de se connecter après l'expiration de la période de durée de vie MFA. Si les utilisateurs sélectionnent Se rappeler de cet appareil pendant la prochaine fois, les utilisateurs ne sont pas invités à demander la MFA lorsqu'ils connexion. Cela s'applique tant que le cookie de l'appareil est valide.
    • Durée de vie de la MFA : cette option apparaît lorsque vous sélectionnez Après l'expiration de la durée de vie de la MFA pour le cookie de l'appareil. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).
  • Sélectionner par défaut Ne plus me demander la MFA  : sélectionnez cette option pour ne pas demander aux utilisateurs une MFA.

Durée de vie de la session

Configurer la durée des sessions Okta.

Durée de vie maximale de la session globale Okta

Configurez une durée de vie de la session Okta .

  • Pas de limite de temps : si vous sélectionnez cette option, aucune limite de temps n'est appliquée aux sessions Okta, mais les sessions des utilisateurs expirent tout de même lorsque le temps d'inactivité est atteint.

  • Set time limit (Définir une limite de temps) : définissez une limite de temps pour la durée de vie des sessions Okta. Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).

Vous pouvez définir la durée de vie de la session de Admin Console indépendamment de ce paramètre global. Consultez Configurer la durée de vie de la session Admin Console.

Durée de vie maximale des sessions globales Okta

Configurez le temps d'inactivité qui s'écoule avant que les sessions Okta n'expirent automatiquement, indépendamment de la durée de vie maximale de la session Okta :

  • Saisissez une valeur numérique dans le champ de droite, puis sélectionnez une valeur dans la liste déroulante (jours, heures, minutes).

Vous pouvez définir le délai d'expiration pour Admin Console indépendamment de ce paramètre global. Consultez Configurer la durée de vie de la session Admin Console.

Les cookies des sessions globales Okta sont conservés sur l'ensemble des sessions du navigateur.

Activez ou désactivez la persistance des cookies de session entre les sessions du navigateur. Sélectionnez une option dans la liste déroulante :

  • Activer : autoriser la persistance des cookies de session entre les sessions du navigateur si les utilisateurs le souhaitent. Les utilisateurs doivent sélectionner l'option Rester connecté dans le Sign-In Widget pour activer cette fonctionnalité.

  • Désactiver : ne pas autoriser les cookies de session à persister entre les sessions du navigateur.

Après avoir créé une politique d'authentification Okta, vous devez fermer toutes les sessions actives pour que la nouvelle politique prenne effet. Les politiques d'authentification Okta n'affectent pas la validité ou la durée de vie des jetons API. Consultez la rubrique Gérer les jetons API Okta.

Vous pouvez définir le nombre maximum de durée de vie de la session via l'API Okta. Si vous avez précédemment défini ce nombre avec l'API, vous ne pouvez pas dépasser ce maximum ici dans l'application Okta. Définir un nombre supérieur au maximum de l'API entraîne une erreur.

Actions de la politique d'authentification universelle Okta

  • Faites glisser et déposez la politique dans l'ordre de priorité souhaité.
  • Faites glisser et déposez les règles dans une politique selon l'ordre de priorité souhaité.
  • Ajoutez une politique en sélectionnant Ajouter une nouvelleOkta Sign-on Policy.

Modifier une politique d'authentification Okta

Vous pouvez effectuer les actions suivantes sur une seule politique. Sélectionnez la stratégie dans la liste pour commencer.

  • Activez ou désactivez la politique sélectionnée. Si vous désactivez une politique, elle n'est appliquée à aucun utilisateur, mais vous pourrez la réactiver ultérieurement.
  • Cliquez sur Modifier pour modifier la politique.
  • Cliquez sur Supprimer pour supprimer une stratégie. Vous ne pouvez pas supprimer la politique par défaut.
  • Cliquez sur Ajouter une règle pour ajouter une règle à la politique sélectionnée. Dans une stratégie, vous pouvez activer, désactiver, modifier ou supprimer une règle.
  • Pour voir les détails d'une règle, cliquez sur le nom de la règle sous Ajouter une règle.

Politique d'évaluation préalable à l'authentification

Lorsque les utilisateurs se connectent à l'aide de l'API AuthN, leurs politiques d'authentification sont évaluées avant que leur mot de passe ou un autre facteur ne soit vérifié. Cette évaluation permet de réduire le nombre de verrouillages de comptes qui se produisent dans une organisation.

Le message d'erreur Échec de l'authentification s'affichent lorsque les utilisateurs tentent de se connecter alors que la politique d'authentification est définie sur Refuser. Le compteur des tentatives de connexion échouées n'augmente pas dans ce cas. À la place, un événement enregistré indique qu'une évaluation de politique d'authentification préalable à l'authentification a été déclenchée.

  • Il n'y a pas de modification visible de l'interface utilisateur ni de configuration requise dans l'Admin Console pour activer cette fonctionnalité en arrière-plan.
  • Cette politique ne fonctionne pas lors de l'authentification initiale pour les comptes nouvellement créés configurés pour utiliser l'approvisionnement JIT. Le compte de l'utilisateur final doit exister dans Okta.
  • Cette politique n'empêche pas les utilisateurs de réinitialiser leurs informations d'identification depuis un emplacement refusé.

Rubriques liées

Okta Sign-on Policies

Politiques d'inscription MFA

Politiques de mot de passe

Politiques d'authentification à l'app

Configurer une politique d'inscription MFA

Configurer une stratégie d'authentification à l'application

Configurer une stratégie de mot de passe