FAQ relative à la migration de Device Trust vers Okta FastPass

Non. Commencez par effectuer une mise à niveau à partir de Classic Engine. Ensuite, configurez les nouveaux paramètres Device Trust et Okta FastPass dans Identity Engine.

Le processus de migration des organisations qui utilisent Device Trust mobile de Workspace ONE basée sur SAML est légèrement différente de la migration de Device Trust vers Okta FastPass. Pour mettre à niveau votre configuration Device Trust mobile de Workspace ONE basée sur SAML vers Identity Engine, consultez Migrer Device Trust mobile de Workspace ONE basée sur SAML.

Device Trust (Classic Engine) utilise Okta Mobile pour attester qu'un appareil mobile est fiable et géré. Identity Engine ne prend pas en charge Okta Mobile, les utilisateurs finaux ne peuvent donc plus l'utiliser pour accéder à leurs apps. Au lieu de cela, les utilisateurs peuvent accéder à leurs apps à partir du Okta End-User Dashboard pour les utilisateurs finaux dans un navigateur mobile.

Device Trust permet la gestion des appareils. Dans Classic Engine, Device Trust est établi par la présence de certificats et a une forte dépendance avec Jamf (pour macOS) et Active Directory (pour Windows). Dans Identity Engine, Device Trust fonctionne toujours avec des certificats, mais il utilise Okta Verify et fonctionne sur tous les MDM. Un outil de gestion du point de terminaison (par exemple, Jamf Pro Workspace ONE) qui gère les appareils avant que les utilisateurs finaux puissent accéder aux apps gérées par Okta. Okta FastPass permet une authentification sans mot de passe. Vous combinez Device Trust avec Okta FastPass pour obtenir une authentification forte sans mot de passe sur les appareils gérés et conformes.

Okta Verify enregistre l'appareil dans Universal Directory Okta Verify détecte la présence de certificats de gestion sur l'appareil pour attester qu'un appareil est géré ou de confiance. La dernière version est requise pour Okta FastPass.

Consultez Solutions Okta Device Trust pour une organisation Classic.

Vous pouvez demander à votre équipe de compte Okta de rétablir votre organisation Identity Engine vers une organisation Classic Engine. Après avoir rétabli votre orgation Classic Engine, les fonctions push et TOTP restent activées, même si ces facteurs n'étaient pas activés pour votre organisation Classic Engine avant la mise à niveau. Vous pouvez désactiver Okta Verify dans votre organisation. Allez à SécuritéMultifacteurTypes de facteur, sélectionnez Okta Verify, puis sélectionnez Désactiver.

Comme IWA a été utilisé pour Device Trust dans Classic Engine, les agents IWA restent en place jusqu'à ce que les certificats soient émis par la nouvelle plateforme :

1. Dans Identity Engine, allez à SécuritéIntégrations d'appareils et configurez la plateforme.
2. Configurez une nouvelle autorité de certification (CA).
3. Accédez à votre logiciel de gestion des appareils pour déployer la nouvelle certification sur tous les appareils.
4. Déployez Okta Verify sur tous les appareils.
5. Supprimez les agents IWA.
6. Retirez les plateformes Classic Engine.
7. Ne révoquez pas le certificat Classic Engine sur les appareils des utilisateurs finaux.

Le certificat fonctionne jusqu'à ce que vous installiez Okta Verify sur les appareils des utilisateurs finaux et que les utilisateurs enregistrent leur compte en utilisant l'application de bureau Okta Verify. Après que les utilisateurs aient créé le compte Okta Verify, l'autorité de certification requiert le nouveau certificat.

Le certificat existant continue de fonctionner jusqu'à ce que les utilisateurs installent et enregistrent Okta Verify sur leurs appareils. Les utilisateurs ne peuvent pas accéder aux apps s'ils doivent utiliser un appareil de confiance mais ne disposent pas du nouveau certificat.

Oui, vous pouvez. Cependant, Okta vous recommande de vous éloigner d'IWA et d'utiliser l'intégration d'appareil à la place pour utiliser les nouvelles fonctionnalités.

Okta permet cela pour que nos clients puissent continuer à fonctionner tout en passant à la nouvelle plateforme.

Non, mais Okta exige de pousser les nouveaux certificats avant de pousser Okta Verify vers vos appareils. Si vous ne suivez pas cette séquence, les utilisateurs perdent l'accès aux applications protégées par Device Trust.

Oui, Okta utilise l'ancien certificat jusqu'à ce que vous installiez et enregistriez Okta Verify sur l'appareil.

Oui. Effectuez les étapes suivantes pour déployer Identity Engine Device Trust après votre mise à niveau :

1. Configurez l'URL SCEP.
2. Utilisez votre solution de gestion du point de terminaison pour vous assurer que les certificats sont poussés vers les appareils.
3. Assurez-vous que les appareils disposent d'Okta Verify.
4. Faites respecter les politiques de l'app.
5. Validez Identity Engine Device Trust.
6. Mettez Classic Engine Device Trust hors service.

Aucune reconfiguration n'est nécessaire dans Jamf.

Okta Verify continue de fonctionner comme prévu. Ceci est important si vous avez configuré Jamf Connect pour demander une ré-authentification pour certaines actions comme le redémarrage.

YubiKey et WebAuth ne fonctionnent pas dans Jamf Connect après la mise à niveau vers Identity Engine, car Jamf Connect ne prend pas en charge ces authentificateurs.

Si vous avez configuré YubiKey ou WebAuthN, configurez Okta Verify après la mise à niveau.

Non. Le script Python, également connu sous le nom de tâche d'enregistrement des appareils d'Okta, n'est plus nécessaire dans Identity Engine.

Identity EngineDevice Trust utilise un trousseau. Réinscrivez le trousseau s'il est effacé.

Vous pouvez utiliser des solutions de gestion du point de terminaison pour pousser les certificats et les valider.

Configurez le nouveau CA et émettez des certificats en utilisant le nouveau CA. La plateforme Identity Engine prend en charge la configuration de plusieurs CA et solutions de gestion du point de terminaison. L'autorité de certification existante n'a pas besoin d'être reconfigurée.