Configurer l'authenticator par IdP
L'authenticator Fournisseur d'identité (IdP) est un facteur de possession permettant de vérifier la présence de l'utilisateur. Vous pouvez configurer plusieurs fournisseurs d'identité SAML 2.0 ou OIDC de votre choix en tant qu'authenticators.
Les utilisateurs finaux ont la possibilité d'utiliser l'IdP lorsqu'ils se connectent à Okta. Ils effectuent une vérification supplémentaire dans l'IdP, puis sont redirigés vers Okta.
Pour utiliser l'authenticator par IdP, le flux de connexion doit se dérouler dans un navigateur. Les flux de connexion se déroulant en dehors du navigateur ne sont pas pris en charge. Cela inclut les flux de connexion utilisant le protocole RDP (Remote Desktop Protocol), les services ADFS (Active Directory Federation Services) et le service d'authentification RADIUS (Remote Authentication Dial-In User Service). Microsoft Azure Active Directory (AAD) ne peut pas être utilisé comme authenticator par IdP.
Avant de commencer
- Ajoutez le SAML 2.0 ou OIDC IdP que vous souhaitez utiliser comme authenticator. Consultez Fournisseurs d'identité.
- Définissez Utilisation de l'IdP sur Facteur uniquement.
- Effacez les paramètres JIT. Ils ne sont pas pris en charge.
- Configurez les mappages Universal Directory.
- Pour un IdP SAML 2.0, mappez la déclaration subjectNameId avec le nom d'utilisateur Okta de connexion.
- Pour un IdP OIDC, mappez la déclaration preferred_username avec le nom d'utilisateur Okta de connexion.
- Définissez IdP sur Actif.
Ajouter l'authenticator par IdP
-
Dans Admin Console, accédez à .
-
Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.
- Cliquez sur Ajouter dans la tuile authenticator par IdP.
Configurer les options pour l'authenticator
Configurez les options suivantes :
|
Champ |
Valeur |
|---|---|
|
Fournisseur d'identité (IdP) |
Sélectionnez l'IdP SAML ou OIDC que vous souhaitez utiliser comme authenticator. |
| Nom de l'authenticator | Nom de l'authenticator. Il est indiqué aux utilisateurs finaux lorsqu'ils se connectent. Si le champ est vide, le nom de l'IdP apparaît comme nom de l'authenticator. |
|
Logo de l'authenticator |
Sélectionnez le logo de l'authenticator. L'utilisateur voit ce logo sur les pages authentification . Parcourir les fichiers : Charger votre logo. Il doit s'agir d'un fichier SVG de moins de 1 Mo. Pour une meilleure qualité, utilisez un logo carré avec un arrière-plan transparent. Utiliser le logo par défaut : utilisez le logo par défaut. |
Cliquez sur Ajouter. L'authenticator s'affiche dans la liste de l'onglet Configuration.
Pour voir comment l'authenticator apparaît sur les pages de connexion, connectez-vous en tant qu'utilisateur final. Pour ajouter un autre authenticator par IdP, répétez les étapes ci-dessus.
Ajouter un IdP à la politique d'enrôlement authenticator
Dans authenticators, accédez à l'onglet Inscription pour ajouter l'authenticator à une politique d'enrôlement authenticator (nouvelle ou existante). Consultez Créer une politique d'inscription d'authenticator.
Modifier, désactiver ou supprimer l'authenticator par IdP
Avant de modifier, de désactiver ou de supprimer l'authenticator par IdP, vous devrez peut-être mettre à jour les politiques existantes qui l'utilisent.
Pour modifier ou désactiver l'authenticator par IdP, accédez à . Ouvrez la liste déroulante Actions à côté de l'authenticator et sélectionnez Modifier ou Désactiver.
Le fait de désactiver un authenticator par IdP ne le supprime pas. Pour supprimer l'authenticator par IdP, suivez les étapes ci-dessous :
- Désactivez l'authenticator par IdP.
- Accédez à et supprimez l'IdP concerné.
Une fois l'IdP supprimé, il disparaît automatiquement de la liste des authenticators.
Expérience de l'utilisateur final
Les utilisateurs finaux sont invités à s'inscrire à l'authentification par authenticator par IdP lors de leur prochaine connexion. Une fois que l'utilisateur final a inscrit l'authenticator par IdP, celui-ci apparaît dans le End-User Dashboard dans . L'invite de authenticator par IdP expire après cinq minutes d'inactivité. L'utilisateur doit alors demander à recevoir une nouvelle invite.