Duo Security (MFA)

Vous pouvez ajouter Duo Security comme option d'authentification multifacteur (MFA) dans Okta. Lorsqu'il est activé comme facteur, Duo Security est le système d'enregistrement pour MFA et Okta délègue la vérification secondaire des informations d'identification à votre compte Duo Security.

Si vous avez un déploiement Duo Security avec des inscriptions existantes, assurez-vous que vos noms d'utilisateur Duo Security correspondent aux noms d'utilisateur Okta ou aux adresses e-mail de vos utilisateurs Okta. Lorsqu'un utilisateur final se connecte à Okta ou accède à une ressource protégée par Okta, Okta recherche l'utilisateur dans votre compte Duo Security en fonction de son nom d'utilisateur Okta ou de son adresse e-mail. Vous pouvez modifier le mappage du nom d'utilisateur comme décrit dans cette rubrique.

Les utilisateurs sans inscription Duo Security peuvent s'inscrire eux-mêmes lors de la connexion à Okta ou sur la page de leur compte Duo Security. En fonction de vos paramètres d'intégration Okta dans Duo Security, les utilisateurs finaux peuvent s'inscrire à l'aide d'un smartphone, d'une tablette, d'un téléphone, de Touch ID et de clés de sécurité.

• Avant de commencer
• Ajouter Duo Security comme facteur
• Expérience de l'utilisateur final
• Paramètres de l'utilisateur final dans l'application Duo Mobile
• Considérations importantes

Avant de commencer

Dans Duo Security, intégrez votre compte Duo Security à Okta. L'intégration génère les valeurs suivantes :

• Une clé d'intégration
• Une clé secrète
• Un nom d'hôte API

Enregistrez ces valeurs et enregistrez-les pour pouvoir les ajouter comme facteur à Duo Security.

Ajouter Duo Security comme facteur

1. Dans l'Admin Console, accédez à SécuritéMultifacteur.

2. Dans Types de facteur, cliquez sur Duo Security.
3. Cliquez sur Modifier à côté de Paramètres Duo Security.
4. Saisissez les valeurs que vous avez générées dans Duo Security lors de l'intégration avec Okta :
   • Clé d'intégration
   • Clé secrète
   • Nom d'hôte d'API
5. Sélectionnez un format de nom d'utilisateur Duo Security :
   • Nom d'utilisateur Okta
   • E-mail
6. Cliquez sur Enregistrer.
7. Cliquez sur Inactif en haut à droite et sélectionnez Activer.

Expérience de l'utilisateur final

L'expérience de l'utilisateur final dépend du fait que les utilisateurs soient déjà inscrits à Duo Security avant que vous ne le configuriez comme facteur dans Okta.

Nouvelles inscriptions à Duo Security

1. Les utilisateurs qui se connectent à Okta ou accédent à une app protégée par Oktasont invités à s'inscrire à Duo Security.
2. L'utilisateur clique sur Configurer et est invité à sélectionner le type d'appareil qu'il ajoute. Voici l'expérience utilisateur pour deux types d'appareils couramment choisis :
   • Téléphone mobile : l'utilisateur est invité à saisir son numéro de téléphone et à sélectionner un pays et son type d'appareil (par exemple, Android ou iOS). Il peut également être invité à recevoir un SMS ou un appel téléphonique pour vérifier qu'il est bien le propriétaire du numéro de téléphone. Ensuite, l'utilisateur est invité à installer l'application Duo Mobile ou à indiquer qu'elle est déjà installée. Enfin, l'utilisateur est invité à activer son inscription en scannant un code QR ou en cliquant sur l'option Envoyer le lien d'activation par e-mail.
   • Touch ID : l'utilisateur suit les invites à l'écran pour s'inscrire avec Touch ID. Au cours du processus, l'utilisateur est invité à scanner son empreinte digitale. Selon la stratégie d'authentification Okta, l'utilisateur peut également être invité à configurer un autre facteur, comme une question de sécurité.

   Après avoir choisi un appareil pendant l'auto-inscription, les utilisateurs finaux peuvent ajouter des appareils si l'option Add a new device (Ajouter un nouvel appareil) apparaît dans les paramètres de Duo Mobile. Pour activer cette option, l'administrateur Duo doit sélectionner le Self-service portal (Portail libre-service) dans le panneau d'administration Duo.

Inscriptions existantes à Duo Security

1. Les utilisateurs voient le facteur Duo Security comme un moyen de s'authentifier lorsqu'ils se connectent à Okta ou accédent à une app protégée par Okta.
2. L'utilisateur sélectionne l'option Duo Security.
3. Lors de la connexion, l'utilisateur peut être invité à effectuer des vérifications supplémentaires en fonction de votre politique d'authentification à l'app ou des paramètres de votre déploiement de Duo Security. Les utilisateurs vérifient leur identité en sélectionnant un type d'authentification qui est pris en charge par leur appareil.

Considérations importantes

• Okta refuse l'accès à tout utilisateur (y compris les administrateurs Okta) dont le compte Duo Security est désactivé ou verrouillé. En fonction de votre politique d'authentification à l'application Okta, ces utilisateurs finaux peuvent ne pas être en mesure de se connecter à des ressources protégées par Okta en utilisant un facteur différent. En outre, l'assistance Okta ne peut pas réinitialiser les appareils Duo Security pour leurs utilisateurs. Seul un administrateur Duo Security peut réinitialiser le statut des comptes Duo Security. Comme meilleure pratique, assurez-vous que vous avez plusieurs administrateurs Duo Security et que vos administrateurs Okta ont plusieurs appareils enregistrés.
• La réinitialisation d'un facteur dans le profil Okta d'un utilisateur final ne réinitialise pas son compte dans Duo Security. De même, si les utilisateurs suppriment Duo Security de la vérification supplémentaire dans leur page Paramètres de l'utilisateur final dans Okta, l'inscription reste dans Duo Security. Dans ce cas, pour permettre à l'utilisateur final de s'inscrire à une autre méthode d'authentification Duo Security, supprimez son inscription dans le panneau administrateur Duo Security. Sinon, l'utilisateur final est invité à utiliser la méthode qu'il utilisait avant la réinitialisation ou la suppression du facteur dans Okta.
• Si l'utilisateur se trouve sur un appareil Windows, l'option Touch IDn'est pas disponible dans l'app Duo Security.
• Duo Security avec notification Push/SMS/Appel n'est pas prise en charge pour Amazon WorkSpaces avec RADIUS. Les utilisateurs doivent saisir le code d'accès à usage unique de l'app Duo Security et leur mot de passe principal pour s'authentifier.
• MFA pour RDP ne prend pas en charge le facteur Duo.