Remplacer Device Trust mobile de Workspace ONE basée sur SAML par Okta FastPass

Version d'accès anticipé. Consultez Activer les fonctionnalités en libre-service.

Cette procédure s'applique aux organisations Classic Engine qui utilisent Device Trust mobile de Workspace ONE basée sur SAML. Pour migrer Okta Device Trust vers Okta FastPass et Okta Verify, consultez Device Trust pour les appareils mobiles.

Vous ne pouvez pas modifier Device Trust mobile de Workspace ONE basée sur SAML après avoir effectué une mise à niveau vers Identity Engine. Utilisez Okta FastPass et Okta Verify à la place.

Après la mise à niveau, vos authentifications Device Trust mobile deWorkspace ONE basée sur SAML existantes continuent de fonctionner sur Identity Engine.

Toutes les conditions Device Trust mobile de Workspace ONE basée sur SAML sont traduites en conditions Appareil : Enregistré, Géré dans Identity Engine. Si l'appareil mobile est inscrit dans Workspace ONE, l'appareil correspond à une règle enregistrée et gérée. Si l'appareil n'est pas inscrit dans Workspace ONE, l'appareil correspond à une règle enregistrée mais non gérée.

Démarrer cette procédure

  1. Vérifier l'éligibilité à la mise à niveau à partir du hub de mise à niveau OIE

  2. Vérifier que Device Trust mobile de Workspace ONE basée sur SAML fonctionne

  3. Activer Okta FastPass pour certains utilisateurs

  4. Activer Okta FastPass pour tous les utilisateurs

  5. Supprimer Device Trust mobile de Workspace ONE basée sur SAML

Vérifier l'éligibilité à la mise à niveau à partir du hub de mise à niveau OIE

Avant de pouvoir effectuer la mise à niveau vers Identity Engine, votre organisation doit répondre à certaines exigences de configuration. Utilisez le hub de mise à niveau OIE pour vérifier votre org et examiner la liste des éléments d'action qui doivent être complétés avant que la mise à niveau puisse être planifiée.

  1. Ouvrez le hub de mise à niveau OIE dans l'Admin Console.

  2. Cliquez sur Mettre à jour l'éligibilité et vérifiez les éléments d'action renvoyés. Vous devriez voir des éléments liés à Device Trust mobile de Workspace ONE qui rendent votre mise à niveau non éligible. Pour plus d'informations sur l'éligibilité, consultez Éléments d'action de mise à niveau en libre-service.

  3. Débloquez les éléments d'action Device Trust mobile de Workspace ONE : dans l'Admin Console, ouvrez Paramètres Fonctionnalités.

  4. Localisez la fonctionnalité appelée Support de migration de Device Trust pour Android et iOS de Workspace ONE et cliquez sur le bouton bascule pour l'activer.

  5. Retournez dans le hub de mise à niveau OIE et cliquez à nouveau sur Mettre à jour l'éligibilité . Votre organisation devrait maintenant pouvoir être mise à niveau. Si vous ne considérez pas votre organisation comme éligible à la mise à niveau, contactez votre représentant de compte .

  6. Dans le hub de mise à niveau OIE, cliquez sur Planifier la mise à niveau Choisissez la date et l'heure de la mise à niveau.

Vérifier que Device Trust mobile de Workspace ONE basée sur SAML fonctionne

Après la mise à niveau, Device Trust mobile de Workspace ONE basée sur SAML est toujours activée. Okta FastPass n'est pas encore activé. L'expérience de l'utilisateur final est la même que sur Okta Classic Engine. Si un utilisateur tente d'accéder à une app qui est protégée par une condition d'appareil, Okta redirige l'utilisateur vers Workspace ONE pour l'authentifier et vérifier le statut de gestion de l'appareil. Après validation, l'utilisateur peut accéder au compte de l'app.

Ne supprimez pas encore Device Trust mobile deWorkspace ONE basée sur SAML . Vous ne pouvez pas revenir sur cette action.

  1. Vérifiez que votre configuration Device Trust mobile de-Workspace ONE basée sur SAML a migré vers Identity Engine :

    1. Dans l'Admin Console, allez à SécuritéIntégrations d'appareils.

    2. Cliquez sur l'onglet Sécurité des points de terminaison.
    3. Vérifiez que les plateformes répertoriées correspondent aux types d'appareils que vous avez identifiés lors de la procédure de pré-mise à niveau. Par exemple, si Android et iOS Device Trust ont été activés dans votre environnement Classic Engine, ces plateformes sont répertoriées sur la page Sécurité des points de terminaison.
  2. Vérifiez que votre politique de connexion à l'app comprend une règle pour les conditions relatives aux appareils enregistrés et gérés :
    1. Dans l'Admin Console, allez à Sécurité Politiques d'authentification.
    2. Cliquez sur Connexion à l'application.
    3. Sélectionnez la politique que vous souhaitez vérifier.
    4. L'une des règles de la politique doit spécifier Appareil : Enregistré, Géré.
  3. Affichez les événements suivants du System Log, pour vérifier que Device Trust mobile de Workspace ONE basée sur SAML fonctionne toujours :

    Authentification

    • DisplayMessage: Authentication of device through SAML IdP
    • EventType: user.authentication.authenticate
    • LegacyEventType:
      • Si l'appareil est géré depuis Workspace ONE : core.user_auth. authentification.auth_via_saml_idp_success.
      • If the device is non géré depuis Workspace ONE : core.user_auth. authentification.auth-via_saml_idp_failure.
  4. Vérifiez les éléments suivants sur plusieurs systèmes d'exploitation :
    • Tous les cas d'utilisation existants fonctionnent. Par exemple, les utilisateurs disposant d'appareils avec Device Trust mobile activé peuvent s'authentifier.
    • Toutes les politiques d'authentification à l'app ont migré avec succès. Pour les apps qui sont protégées par Device Trust mobile de Workspace ONE basée sur SAML, une règle doit inclure une condition pour Géré et Enregistré.
    • Les nouvelles enrôlements fonctionnent (le cas échéant).

Activez Okta FastPass pour certains utilisateurs

Examinez les scénarios suivants et la lecture seule sur Enregistrement de l'appareil.

Okta Verify n'est pas installé, ou Okta Verify est installé sur l'appareil, mais l' utilisateur dispose uniquement d'un compte Okta Classic Engine . Lorsque l'utilisateur essaie d'accéder à une application protégée par Device Trust mobile de Workspace ONE basée sur SAML, la page de connexion de l'organisation apparaît. Okta sonde l'appareil de l'utilisateur pour obtenir Okta Verify. L'utilisateur est redirigé vers Workspace ONE Fournisseur d'identité pour évaluer Device Trust puis est redirigé vers la page de connexion. Okta collecte la posture de l'appareil pour évaluer si l'appareil répond à la politique d'authentification à l'app.
Okta Verify est installé sur l'appareil, mais l'utilisateur n'a pas de compte. Lorsqu'un utilisateur essaie d'accéder à une application protégée par Device Trust mobile de Workspace ONE basée sur SAML, il est invité à ajouter un compte Okta Verify. Le flux d'authentification se termine sans authentification Workspace ONE parce que le statut Device Trust a été fourni par Okta Verify.
  1. Si vous avez désactivé Device Trust mobile de Workspace ONE basée sur SAML, effectuez cette procédure : Configurer l'attestation de gestion pour les appareils mobiles. Passez ensuite à l'étape suivante.
  2. Préparez les appareils d'entreprise pour Okta FastPass. Poussez la dernière version de l'app Okta Verify sur tous les appareils de bureau. En utilisant votre MDM, activez l'enrôlement en ligne pour certains utilisateurs. Consultez Enregistrement de l'appareil et Appareils gérés.
  3. Mettez à jour votre politique de connexion à l'app. Vérifiez que vous disposez d'une règle gérée pour chaque plateforme applicable. Remplacez la valeur L'utilisateur doit s'authentifier avec par 1 type de facteur quel qu'il soit :
    • Autoriser un appareil iOS de confiance :
      • Plateeform : iOS
      • Appareil : Enregistré, Géré
      • L'utilisateur doit s'authentifier avec : 1 type de facteur quel qu'il soit
    • Autoriser un Android de confiance :
      • Plateforme : Android
      • Appareil : Enregistré, Géré
      • L'utilisateur doit s'authentifier avec : 1 type de facteur quel qu'il soit

      Pour plus de détails sur la configuration de votre politique d'authentification à l'app, consultez Configurer une politique d'authentification à l'app pour Okta FastPass.

      Après avoir effectué cette étape, les utilisateurs sont automatiquement invités à s'inscrire sur Okta Verify lors de leur prochain accès à Okta. Si un utilisateur a installé Okta Verify et ajouté un compte (s'est inscrit), il utilise maintenant Okta FastPass pour se connecter. Par conséquent, l'appareil est de confiance. Si l'utilisateur n'a pas de compte Okta Verify, il utilise Device Trust mobile de Workspace ONE basée sur SAML pour se connecter.

  4. Activez Okta FastPass. Il s'agit d'un paramètre global, mais seuls les catégories d'utilisateurs suivants ont accès à Okta FastPass :
    • Utilisateurs avec enrôlement en ligne
    • Les utilisateurs qui sont enregistrés dans Okta Verify et qui possèdent un appareil inscrit sur MDM.

    Lorsque vous activez Okta FastPass, assurez-vous de cocher la case Okta FastPass (toutes les plateformes) avant de désactiver Device Trust mobile de Workspace ONE basée sur SAML.

  5. Vérifiez ces scénarios lorsque Okta FastPass est activé :
    • Les utilisateurs qui ne sont pas inscrits sur Okta Verify, mais qui sont inscrits avec Device Trust mobile de Workspace ONE basée sur SAML, devraient pouvoir accéder avec succès aux apps qui sont gérées.
    • Les utilisateurs qui ne sont pas inscrits sur Okta Verify devraient être en mesure de s'inscrire sur Okta Verify.
    • Les utilisateurs qui se sont inscrits sur Okta Verify à partir d'un appareil géré devraient pouvoir accéder aux apps qui sont gérées.
    • Les utilisateurs qui se sont inscrits à Okta Verify depuis un appareil non géré devraient pouvoir accéder aux apps de la même manière qu'avant la migration.

Activez Okta FastPass pour tous les utilisateurs

Encouragez les utilisateurs à s'inscrire sur Okta Verify. Idéalement, tous les utilisateurs ont un compte Okta Verify avec Okta FastPass activé, de sorte que vous n'avez plus besoin de Device Trust mobile de Workspace ONE basée sur SAML.

  1. Demandez à tous les utilisateurs de s'inscrire sur Okta Verify ou déployez-le sur tous les appareils des utilisateurs. Partagez le lien approprié avec vos utilisateurs.
  2. Vérifiez les éléments suivants :
    • Okta Verify est déployé auprès de tous les utilisateurs à l'aide de votre MDM.
    • Tous les utilisateurs ont un certificat de gestion, en utilisant votre MDM (consultez tâche 2, étape 2).
    • Tous les utilisateurs accèdent aux apps à partir d'appareils avec Okta Verify, et non Device Trust mobile de Workspace ONE basée sur SAML (consultez tâche 1, étape 3).

Supprimer Device Trust mobile de Workspace ONE basée sur SAML

Lorsque tous vos utilisateurs utilisent Okta FastPass, vous pouvez supprimer Device Trust mobile de Workspace ONE basée sur SAML.

  1. Consultez les événements du System Log pour vous assurer que les signaux Device Trust mobile de Workspace ONE basée sur SAML n'existent plus. (Consultez tâche 2, étape 3). Si les signaux Device Trust mobile de Workspace ONE basée sur SAML existent, migrez ces utilisateurs vers Okta Verify. Tous les utilisateurs qui n'utilisent pas Okta Verify seront impactés.
  2. Supprimez Device Trust mobile de Workspace ONE basée sur SAML :

    1. Dans l'Admin Console, allez à SécuritéIntégrations d'appareils.

    2. Cliquez sur Sécurité des points de terminaison.
    3. Pour la plateforme requise, cliquez sur ActionsSupprimer. Cette action est définitive et ne peut être annulée.
  3. Mettez hors service Workspace ONE de votre infrastructure.

Rubriques liées

Désactivez Device Trust sur les appareils mobiles.

FAQ relative à la migration de Device Trust vers Okta FastPass

Résoudre les problèmes liés à Device Trust après une mise à niveau