Configurer l'authenticator Duo Security

L'authenticator Duo Security permet aux utilisateurs de s'authentifier avec l'application Cisco Duo lorsqu'ils se connectent à Okta.

Lorsque vous activez l'authenticator Duo Security, Duo Security devient le système d'enregistrement pour l'authentification multifacteur (MFA). Okta délègue la vérification des identifiants secondaires à votre compte Duo Security d'entreprise. L'authentification multifacteur (MFA) pour le protocole RDP (Remote Desktop Protocol) ne prend pas en charge l'authenticator Duo Security.

Cet authenticator est un facteur de possession, répond aux exigences de présence de l'utilisateur et est lié à l'appareil. Voir authentification multifacteur.

Avant de commencer

• Si vous êtes déjà inscrit à Duo Security, vérifiez que vos noms d'utilisateur et adresses e-mail Duo Security correspondent au format de ceux utilisés précédemment dans Okta. Okta utilise l'adresse e-mail ou le nom d'utilisateur Okta pour rechercher des utilisateurs dans votre compte Duo Security. Vous pouvez sélectionner un format de nom d'utilisateur lorsque vous configurez cet authenticator.
• Dans Duo Security, intégrez votre compte Duo Security à Okta. Enregistrez la clé d'intégration, la clé secrète et le nom d'hôte de l'API, puis saisissez-les dans Okta lorsque vous configurez l'authenticator Duo Security.
• Activez d'autres authenticators et autorisez-les dans vos politiques de session globales. Vos utilisateurs disposeront ainsi d'autres méthodes de sécurité. Okta refuse l'accès à tout utilisateur (y compris les administrateurs Okta) dont le compte Duo Security est désactivé ou verrouillé.
• Ajoutez plusieurs administrateurs Duo Security et exigez que vos autres administrateurs inscrivent plusieurs appareils dans Duo Security. Le support Okta ne peut pas réinitialiser les appareils Duo Security pour leurs utilisateurs. Seul un administrateur Duo Security peut réinitialiser le statut des comptes Duo Security.

• Activez Sign-In Widget (deuxième génération). La troisième génération n'est pas prise en charge.

Ajouter cet authenticator

1. Dans Admin Console, accédez à Sécuritéauthenticators.

2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

3. Cliquez sur Ajouter dans la tuile authenticator.

Options de configuration

1. Configurez les options suivantes :

   Champ	Valeur
   Paramètres	Saisissez les valeurs que vous avez générées dans Duo Security lors de l'intégration avec Okta : Clé d'intégration Clé secrète Nom d'hôte d'API
   Format du nom d'utilisateur Duo Security	Sélectionnez un format pour le nom d'utilisateur. Vos noms d'utilisateur Duo Security doivent correspondre aux noms d'utilisateur Okta ou aux adresses e-mail de vos utilisateurs Okta : Nom d'utilisateur Okta E-mail Nom de compte SAM

2. Cliquez sur Ajouter. L'authenticator s'affiche dans la liste de l'onglet Configuration.

Ajouter cet authenticator à la politique d'enrôlement authenticator

1. Dans Admin Console, accédez à Sécuritéauthenticators.

2. Cliquez sur l'onglet Inscription.
3. Ajoutez l'authenticator à une politique d'inscription authenticator (nouvelle ou existante).

Modifier ou supprimer cet authenticator

Expérience de l'utilisateur final

L'expérience de l'utilisateur dépend du fait que les utilisateurs soient déjà inscrits à Duo Security avant que vous ne le configuriez comme authenticator dans Okta.

Nouvelles inscriptions à Duo Security

1. Une fois que vous aurez ajouté cet authenticator à Okta et que vous l'aurez inclus dans une politique d'enrôlement authenticator, les utilisateurs seront invités à s'inscrire à Duo Security.
2. Les utilisateurs cliquent sur Configurer et sélectionnent le type d'appareil qu'ils souhaitent ajouter. Ils peuvent s'inscrire à l'aide d'un smartphone, d'une tablette, d'une méthode biométrique sur leur appareil et de clés de sécurité.
3. Le processus de configuration diffère selon le type d'appareil. Des invites accompagnent les utilisateurs tout au long du processus de configuration.
4. Les utilisateurs peuvent ajouter plus d'appareils si vous avez activé cette option dans Duo Security. L'administrateur Duo Security doit sélectionner l'option Portail en libre-service dans le panneau d'administration Duo Security. Consultez la documentation Duo Security.

Inscriptions existantes à Duo Security

1. Les utilisateurs peuvent sélectionner Duo Security comme méthode de sécurité lorsqu'ils se connectent à Okta ou accèdent à une application protégée par Okta.
2. Lorsque les utilisateurs sélectionnent Duo Security comme méthode de sécurité, ils peuvent être invités à effectuer une vérification supplémentaire. Cela dépend de la façon dont vous avez déployé Duo Security dans votre environnement, ou de la façon dont vous avez configuré les politiques de connexion à vos applications.

Paramètres de l'utilisateur final dans l'application Cisco Duo

Lorsqu'un utilisateur réinitialise ou supprime Duo Security, vous devez supprimer l'inscription dans le panneau d'administration Duo Security avant qu'il ne tente de se réinscrire.

Si l'utilisateur utilise un ordinateur Windows, l'option TouchID n'est pas disponible dans l'application Cisco Duo sur l'appareil iOS de l'utilisateur.

Les utilisateurs peuvent accéder au menu Paramètres dans l'application Cisco Duo et sélectionner les options suivantes :

• Gérer les paramètres et les appareils: consultez la documentation Duo Security.
• Ajouter un nouvel appareil : cet élément apparaît si l'administrateur Duo Security a sélectionné l'option Portail en libre-service dans le panneau d'administration Duo Security. Consultez la documentation Duo Security.