Installer Okta Credential Provider for Windows

Installez Okta Credential Provider pour Windows à l'aide de l'une de ces méthodes d'installation : déploiement standard, silencieux ou de masse.

Voir les exigences pour installer Okta MFA Credential Provider pour Windows.

Le Sign-In Widget (troisième génération) ne prend pas en charge authentification multifacteur pour les agents tiers.

Installation standard

  1. Dans l'Admin Console, accédez à ParamètresTéléchargements.

  2. Trouvez Okta MFA Credential Provider pour Windows dans la liste, puis cliquez sur Télécharger la dernière version.
  3. Accédez à l'emplacement où vous avez téléchargé le fichier d'installation.
  4. Ouvrez le fichier .msi, puis suivez les invites. Installez ou réparez les bibliothèques d'exécution Microsoft Visual C++ et .NET selon vos besoins.
  5. Dans la boîte de dialogue Configuration de l'application, saisissez l'identifiant client, la clé secrète client et l'URL Okta. Vous trouverez l'identifiant client et la clé secrète client dans l'onglet Général de l'application Microsoft RDP (MFA) dans Okta.
  6. Cliquez sur Suivant.
  7. Sélectionnez les filtres d'informations d'identification que vous souhaitez appliquer :
    • Filtrer par fournisseur d'informations d'identification: Si vous sélectionnez cet agent, c'est la seule méthode qu'Okta utilise pour appliquer la MFA aux connexions RDP. Les utilisateurs non authentifiés ne peuvent pas sélectionner de fournisseur d'informations d'identification. Cette option offre une solution de contournement lorsque plusieurs fournisseurs d'informations d'identification sont installés sur un serveur.
    • RDP uniquement : par défaut, le fournisseur d'informations d'identification installé intègre la MFA Okta entre un RDP et un événement d'authentification local. En sélectionnant cette option, vous supprimez la MFA Okta pour les ouvertures de session locales (interactives).
    • Afficher le lien de réinitialisation du mot de passe Okta (en libre-service) : sélectionnez cette option pour ajouter une option sur l'écran de connexion Windows pour que les utilisateurs finaux puissent réinitialiser leur mot de passe Okta.
  8. Cliquez sur Suivant. Sélectionnez Activer TLS 1.2 pour .NET Framework et pour IE si nécessaire.
  9. Cliquez sur Suivant, puis sur Fermer.
  10. Vérifiez l'installation en verrouillant l'appareil. Si le fournisseur d'informations d'identification a été installé avec succès, la page de connexion affiche Okta comme option de connexion.

Installation sans assistance

  1. Vérifiez que le redistributable Microsoft Visual C++ et .NET Framework ont été installés.

  2. Dans l'Admin Console, accédez à ParamètresTéléchargements.

  3. Trouvez Okta MFA Credential Provider pour Windows dans la liste, puis cliquez sur Télécharger la dernière version.
  4. Accédez à l'emplacement où vous avez téléchargé le fichier d'installation.
  5. Ouvrez le fichier .msi, puis suivez les invites. Installez ou réparez les bibliothèques d'exécution Microsoft Visual C++ et .NET selon vos besoins.

  6. Exécutez la commande suivante pour installer Okta Credential Provider pour Windows sans assistance :

    Méthode

    Commande

    Description
    1

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CLIENT_ID="cid" CLIENT_SECRET="cs" OKTA_URL="https://a.b.c"

    • CLIENT_ID : cette valeur est disponible dans l'onglet Général de l'application Microsoft RDP (MFA) dans Okta. Vous pouvez également modifier manuellement cette valeur dans le fichier de configuration de l'agent RDP.
    • CLIENT_SECRET : cette valeur est disponible dans l'onglet Général de l'application Microsoft RDP (MFA) dans Okta. Si la clé secrète client est réinitialisée, vous devez réinstaller l'agent, car la clé secrète est chiffrée dans le fichier de configuration de l'agent. Vous pouvez également modifier manuellement cette valeur dans le fichier de configuration de l'agent RDP.
    • OKTA_URL : l'URL de votre org. Utilisez le format https://org_name.okta.com. Le protocole HTTPS est requis. Vous pouvez également utiliiser *.okta-gov.com, *.oktapreview.com et *.okta-emea.com.

    2

    msiexec /qb /log log.txt /i OktaWindowsCredentialProvider.msi CSGFILE="d:\config.json"

    • Le nom de fichier dans le paramètre CSGFILE doit être complet.
    • Il s'agit du contenu du fichier config.json. Ne chiffrez pas le paramètre ClientSecret :
    { "Url": "https://org.okta.com", "ClientId": "0oa.....n0h7", "ClientSecret": "1g3....A_X", "RdpOnly": true, "SslPinningEnabled": true }
  7. Modifiez les autres propriétés pour appliquer MFA. Modifiez le fichier rdp_app_config.json. Par défaut, il se trouve dans le dossier C:\Program Files\Okta\Okta Windows Credential Provider\config. Vous pouvez également utiliser ce script PowerShell. Exécutez ce script depuis le même emplacement où vous avez extrait l'archive .zip, ou depuis lequel se trouve le fichier setup.exe :

    $rdpAppConfig = Get-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json' -raw | ConvertFrom-Json $rdpAppConfig.RdpOnly =([System.Convert]::ToBoolean('true')) $rdpAppConfig | ConvertTo-Json | Set-Content 'C:\Program Files\Okta\Okta Windows Credential Provider\config\rdp_app_config.json'

    Propriété

    Définition

    Valeur par défaut

    Valeur suggérée

    FilterCredentialProvider

    Si vous définissez cette valeur sur true, il s'agit de la seule méthode utilisée pour appliquer MFA aux connexions RDP. Les utilisateurs non authentifiés ne peuvent pas sélectionner de fournisseur d'informations d'identification. Cette propriété offre une solution de contournement lorsque plusieurs fournisseurs d'informations d'identification sont installés sur un serveur.

    Si vous définissez cette propriété sur true et RdpOnly sur false, l'agent sollicite une MFA si elle est exigée par la politique.

    		false-
    InternetFailOpenOption

    Cette propriété détermine le comportement de flux d'authentification si la connectivité réseau est perdue. Elle régit un accès propre si la machine cible ne dispose pas d'un accès Internet pour la MFA.

    Si vous définissez cette propriété sur true, les utilisateurs qui s'authentifient via RDP ne sont pas invités à utiliser la vérification par MFA et obtiennent un accès sur la base du mot de passe seul.

    Si vous définissez cette propriété sur false, les utilisateurs qui s'authentifient via RDP n'obtiendront pas l'accès, car le fournisseur d'informations d'identification ne peut pas atteindre le service Okta.

    Définissez cette propriété sur true si la connectivité Internet est un problème fréquent.

    		false-
    RdpOnly

    Par défaut, le fournisseur d'informations d'identification installé intègre la MFA Okta entre un RDP et un événement d'authentification local. En définissant cette propriété sur true, vous supprimez la MFA Okta pour les flux d'ouverture de session locales (interactives).

    Si vous définissez FilterCredentialProvider sur true, l'agent sollicite une MFA si elle est exigée par la politique.

    		false-
    WidgetTimeOutInSeconds

    Le nombre de secondes avant l'expiration de la session. Pour éviter que Windows ferme la session RDP, cette valeur doit être inférieure à la durée d'inactivité définie dans Windows.

    Le délai d'expiration de session par défaut pour le widget Okta est de 60 secondes. La valeur maximale est de 120 secondes.

    		6030
    ErrorTimeOutInSecondsLe délai après lequel la session RDP est fermée et un message d'erreur apparaît.3030
    EnforceTimeoutVersionAgnosticApplique les délais d'expiration pour les versions Windows 2012, 2016 ou 2019. falsetrue
    SslPinningEnabledValide la clé publique du serveur Okta auquel se connecte l'agent.truetrue
    DisplayPasswordResetLink

    Si vous avez mis à niveau la version 1.1.4  vers une version ultérieure, vous devez ajouter cette propriété.

    		Affiche un lien pour réinitialiser le mot de passe Active Directory.falsetrue
    Déconnecter la session lors d’une erreur

    Lorsque cette propriété est définie sur true, Okta tente de déconnecter la session de l'utilisateur en cas de dépassement de délai ou d'erreur inattendue.

    Lorsque cette propriété est définie sur faux, la session de l'utilisateur se termine au lieu de se déconnecter. N'importe laquelle des données non enregistrées risquent d'être perdues.

    		false-

Déploiement en masse

Utilisez l'outil psexec64 de Microsoft pour exécuter des commandes sur des machines distantes. Modifiez la commande suivante pour un déploiement en masse :

>psexec64 <IP of the machine to deploy> -u <AD admin user> -p <AD admin password> msiexec /i <//machine/share/OktaWindowsCredentialProvider.msi> CLIENT_ID="<client id>" CLIENT_SECRET="<client secret>" OKTA_URL="https://yourdomain.okta.com" /qn /l*v <path for installation log>

Modifiez les éléments de la commande de la manière suivante :

  • Remlacez <IP de la machine à déployer>, <Utilisateur administrateur AD et <chemin pour le journal d'installation par les valeurs adaptées pour votre organisation ;
  • Remplacez le <client secret> et le <client ID> pour qu'ils correspondent à ceux utilisés par votre application.
  • Remaplacez yourdomain par le nom de votre organisation Okta.