Configurer l'authenticator par e-mail
L'authenticator par e-mail est un facteur de possession et répond aux exigences de présence de l'utilisateur. Il permet aux utilisateurs de s'authentifier à l'aide d'un mot de passe à usage unique (OTP) ou d'un lien magique e-mail (EML) envoyé à leur adresse e-mail principale. Le fait que l'utilisateur puisse accéder à l'e-mail permet de s'assurer que la personne qui tente de se connecter est bien celle qu'elle prétend être.
L'adresse e-mail principale de l'utilisateur est automatiquement inscrite en tant qu'authenticator pour l'authentification et la récupération dans les scénarios suivants :
- L'utilisateur confirme qu'il est le propriétaire de l'adresse e-mail (par exemple, lors de l'enregistrement en libre-service).
- L'utilisateur n'est pas obligé de prouver qu'il est le propriétaire de l'adresse e-mail (par exemple, lorsque l'administrateur crée le compte utilisateur).
Vous pouvez ignorer l'inscription automatique de l'authenticator par e-mail. Consultez Faire de l'e-mail un authenticator facultatif.
Ajouter l'authenticator par e-mail
-
Dans Admin Console, accédez à .
-
Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.
- Cliquez sur Ajouter sur la tuile E-mail.
-
Configurez les options suivantes :
- Sélectionnez une valeur temporelle dans le champ Durée de validité de l'e-mail de vérification (minutes). La valeur par défaut est définie sur 5 minutes. Vous pouvez augmenter cette valeur par intervalles de 5 minutes jusqu'à 30 minutes. Nous vous conseillons d'opter pour une durée de 10 minutes maximum.
Les e-mails ne sont pas toujours transmis par des protocoles sécurisés. Des tiers non autorisés peuvent intercepter des messages non chiffrés. Vous pouvez limiter ce risque en définissant une période de vérification plus courte.
- Le champ Cet Authenticator peut être utilisé pour les tâches suivantes permet de sélectionner les éléments suivants :
- Authentification et récupération : cet authenticator permet aux utilisateurs de s'authentifier et de récupérer leurs comptes.
- Récupération dans les règles de politique de mot de passe : cet authenticator permet aux utilisateurs de récupérer leur compte, mais pas de s'authentifier.
- Sélectionnez une valeur temporelle dans le champ Durée de validité de l'e-mail de vérification (minutes). La valeur par défaut est définie sur 5 minutes. Vous pouvez augmenter cette valeur par intervalles de 5 minutes jusqu'à 30 minutes. Nous vous conseillons d'opter pour une durée de 10 minutes maximum.
-
Cliquez sur Ajouter. L'authenticator s'affiche dans la liste de l'onglet Configuration.
Ajouter l'e-mail à la politique d'enrôlement authenticator
Dans authenticators, accédez à l'onglet Inscription pour ajouter l'authenticator à une politique d'enrôlement authenticator (nouvelle ou existante). Consultez Créer une politique d'inscription d'authenticator.
Modifier ou supprimer l'authenticator par e-mail
Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui l'utilisent.
- Dans authenticators, accédez à l'onglet Configuration .
- Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.
Configurer des liens magiques par e-mail
Lorsqu'un utilisateur valide son identité à l'aide de son adresse e-mail, il peut copier manuellement l'OTP figurant dans l'e-mail dans l'application qu'il souhaite utiliser ou cliquer sur un EML. Lorsque l'utilisateur clique sur l'EML, celui-ci envoie automatiquement l'OTP au nom de l'utilisateur. Les EML ne fonctionnent que dans le même navigateur et sur le même appareil.
Pour configurer l'EML, consultez la documentation destinée aux développeurs :
Expérience de l'utilisateur final
Les utilisateurs peuvent se connecter, réinitialiser leur mot de passe ou déverrouiller leur compte à l'aide de l'authenticator par e-mail. Lorsque l'utilisateur demande à recevoir une invite par e-mail, Okta envoie un EML et un OTP à l'adresse e-mail principale de l'utilisateur. Les utilisateurs peuvent cliquer sur l'EML ou saisir manuellement l'OTP.
Les EML ne fonctionnent que dans le même navigateur et sur le même appareil. Si l'utilisateur ouvre l'e-mail dans un autre navigateur ou sur un autre appareil, il doit revenir sur le navigateur d'origine sur lequel il a demandé à recevoir l'e-mail et saisir manuellement l'OTP.
Le flux se poursuit alors dans un nouvel onglet du navigateur d'origine. Dans le nouvel onglet, l'utilisateur procède à des vérifications supplémentaires, si nécessaire. Une fois que la validation a été effectuée, l'utilisateur peut poursuivre sa tâche. La session dans l'onglet d'origine prend fin.
Une fois la validation effectuée, le parcours de l'utilisateur reprend :
-
Si l'utilisateur se connecte à Okta, le navigateur ouvre le End-User Dashboard.
-
S'il se connecte à une application via un Sign-In Widget intégré, il sera redirigé vers l'emplacement spécifié par le paramètre Expérience de vérification d'e-mail. Consultez Configurer les paramètres pour les intégrations d'applications.
-
S'il réinitialise son mot de passe, une fois le nouveau mot de passe est défini, il sera automatiquement connecté à son compte dans le même onglet à l'aide des nouveaux identifiants.
-
S'il déverrouille son compte, il sera connecté à l'application dans le même onglet.
Si l'utilisateur ne répond pas à l'invite pendant la durée de validité définie, il devra demander à recevoir une nouvelle invite. Cet e-mail peut se retrouver dans le dossier de spam ou de courrier indésirable de l'utilisateur. Rappelez à vos utilisateurs de vérifier ces dossiers s'ils ne trouvent pas l'e-mail dans leur boîte de réception.