Stratégie d'enrôlement MFA
Découvrez comment la politique d'enrôlement MFA change après la mise à niveau.
| Modifier le résumé | La politique d'enrôlement MFA est désormais appelée politique d'enrôlement d'authentificateur. |
| Expérience administrateur |
Ces considérations s'appliquent aux scénarios de récupération de compte :
L'authentificateur par téléphone comporte deux méthodes : les SMS et les appels vocaux. L'utilisateur doit inscrire l'authentificateur par téléphone lorsque l'une (ou les deux) méthodes sont disponibles. Même si le SMS et la voix sont les deux méthodes d'authentificateur par téléphone, ils apparaissent séparément dans une politique. Les utilisateurs doivent s'inscrire à l'authentificateur par téléphone si vous utilisez l'une ou l'autre de ces méthodes. Si vous sélectionnez l'e-mail ou le téléphone comme méthode de récupération pour vos utilisateurs, ou une question de sécurité pour une vérification supplémentaire, Okta invite les utilisateurs à s'inscrire sur ces authentificateurs, même s'ils sont désactivés dans la politique d'enrôlement d'authentification . Vous pouvez faire de l'e-mail un authentificateur facultatif. Consultez Faire de l'e-mail un authentificateur facultatif. Si vous avez une politique d'enrôlement MFA sur Classic Engine qui inscrit un groupe d'utilisateurs uniquement dans Okta Verify avec un mot de passe à usage unique et à durée limitée (TOTP), ce groupe est inscrit à la fois dans TOTP et Push après la mise à niveau. Sur Identity Engine, les politiques d'enrôlement par authentificateur qui requièrent Okta Verify déclenchent automatiquement l'enrôlement dans toutes les options de vérification que vous configurez dans . Si l'authentification unique n'est pas activée pour la réinitialisation du mot de passe en libre-service (SSPR), les authentificateurs qui apparaissent dans ces politiques n'apparaissent pas dans les politiques d'enrôlement par authentificateur . Lorsque les authentificateurs par e-mail, question de sécurité ou téléphone sont requis pour SSPR, les conditions d'enrôlement diffèrent :
Les actions d'inscription au premier défi et d'inscription à l'ouverture de session ne sont plus des actions différenciées. Si un utilisateur ne dispose pas d'un authentificateur requis, il est invité à s'inscrire sur les authentificateurs requis lorsqu'il se connecte à une application. Les utilisateurs sont invités à s'inscrire sur tous les authentificateurs que leur administrateur a définis comme requis lorsqu'ils se connectent à Okta. Les utilisateurs sont invités à s'inscrire sur tous les authentificateurs requis par la politique de connexion à l'app d'une app lorsqu'ils accèdent à l'app. Si une app requiert une MFA avec un facteur de possession, les utilisateurs sont invités à s'inscrire sur ces authentificateurs lorsqu'ils accèdent à ces apps. Si ces authentificateurs sont facultatifs dans une politique d'enrôlement par authentificateur, ils sont toujours invités à s'inscrire. Consultez Authentification multifacteur. Lors de la première configuration du compte, les utilisateurs doivent s'inscrire sur tous les authentificateurs requis par les politiques d'enrôlement par authentificateur et de récupération en libre-service. Lors de la première configuration du compte, ces deux politiques sont évaluées par Okta en même temps. Aux événements de connexion suivants, Okta applique les règles de traitement habituelles. Okta ne met plus les authentificateurs en commun entre ces politiques. L'authentificateur de mot de passe est configurable et toujours requis, sauf lorsque l'expérience de connexion sans mot de passe est activée ou lorsque l'utilisateur s'authentifie avec une authentification sociale ou la fédération entrante. |
| Expérience utilisateur | Les utilisateurs inscrits uniquement sur Okta Verify TOTP sur Classic Engine sont inscrits à la fois sur Okta Verify TOTP et Push après avoir mis à niveau leur compte Okta Verify vers Identity Engine. |
| Rubriques liées | Politiques d'inscription à l'authentificateur |