E-mail comme authenticateur facultatif

L'enrôlement automatique garantit que l'utilisateur ne reçoit pas de vérifications d'enrôlement par e-mail redondantes dans les scénarios suivants :

• Ils ont déjà apporté la preuve qu'ils sont propriétaires de l'adresse e-mail (utilisateurs créés par le biais de l'enregistrement en libre-service).
• Ils n'ont pas besoin de prouver qu'ils sont propriétaires de l'adresse e-mail (utilisateurs créés par l'administrateur).

Si vous avez une politique qui exige que l'e-mail soit un facteur Facultatif après la mise à niveau, consultez Ignorer l'authentificateur par e-mail d'inscription automatique.

Sinon, le facteur E-mail doit être défini sur Désactivé ou Requis avant la mise à niveau. Consultez la documentation Classic Engine : Configurer une politique d'enrôlement MFA.

Ensuite, dans Identity Engine, choisissez le paramètre de l'authentificateur d'e-mail en fonction de votre cas d'utilisation :

• Désactivé : recommandé si les comptes de messagerie principaux de vos utilisateurs sont protégés par Okta. Les e-mails d'authentification sont envoyés uniquement à l'adresse e-mail principale et non à l'adresse e-mail secondaire.
• Requis : recommandé pour les cas d'utilisation de la main-d'œuvre étendue et les cas d'utilisation de la Gestion des accès et des identités (CIAM). La validation de l'adresse e-mail principale est un cas d'utilisation courant pour ces identités.

La valeur par défaut pour l'authentification par e-mail est de cinq minutes, mais vous pouvez augmenter cette valeur par incréments de cinq minutes, jusqu'à 30 minutes. La pratique la plus courante acceptée est de 10 minutes ou moins. Si un utilisateur final clique sur un lien magique expiré, il doit se connecter à nouveau.

En fonction du mode de création de l'utilisateur et du paramétrage du mot de passe, il se peut que l'utilisateur ne soit pas invité à s'inscrire à d'autres authentificateurs facultatifs lors de sa première connexion.