Configurer les options d'Okta Verify

Après avoir ajouté Okta Verify en tant qu'authentificateur, vous pouvez configurer la façon dont les utilisateurs interagissent avec Okta Verify lorsqu'ils s'authentifient. Vous pouvez également activer Okta FastPass.

Avant de commencer

  • Pour les notifications push avec challenge par nombre : utilisez le Sign-In Widget 3.3.0 ou une version ultérieure. Si votre org appelle directement Authentication API, mettez votre code à jour pour qu'il gère la réponse d'API au challenge par nombre. Consultez Exemple de réponse (attente de réponse à un challenge à trois nombres).
  • Si les utilisateurs sont protégés par un pare-feu qui restreint le trafic vers ou depuis Internet, il se peut qu'ils ne reçoivent pas les notifications push Okta Verify. Ouvrez les ports 5228, 5229 et 5230 sur les pare-feu pour permettre la connectivité avec Google Firebase Cloud Messaging. Configurez le pare-feu pour qu'il accepte les connexions sortantes vers toutes les adresses IP contenues dans les blocs d'adresses IP répertoriés par le numéro de système autonome de Google (ASN 15169).

  • Pour des raisons de sécurité, Okta n'autorise pas l'inspection ou la modification du trafic entre Okta Verify et ses points de terminaison. Si vous utilisez un proxy SSL, excluez les domaines Okta par défaut de votre organisation de l'inspection. Généralement les domaines Okta sont *.okta.com ou *.oktapreview.com. Pour obtenir la liste complète des domaines Okta, consultez Autoriser l'accès aux adresses IP Okta.

  • Accès limité aux appareils conformes à la norme FIPS (Federal Information Processing Standard) : les utilisateurs Android doivent activer un code PIN sécurisé sur leurs appareils afin que ceux-ci soient conformes à la norme FICAM (Federal Identity, Credential, and Access Management). Dans le cas contraire, ils ne pourront pas accéder à votre org. Certains appareils Android ne sont pas certifiés conformes à la norme FIPS. Réfléchissez aux implications en termes de sécurité de l'utilisation de keystores matériels par rapport à la nécessité de respecter la norme FIPS.

Commencer cette tâche

  1. Dans l'Admin Console, accédez à SécuritéAuthentificateurs.

  2. Dans l'onglet Configuration, accédez Okta Verify et cliquez sur ActionsModifier.
  3. Configurez les paramètres et enregistrez votre configuration.

Paramètres

Paramètres Valeurs

Options d'inscription

Configurez la sécurité des inscriptions Okta Verify :

  • Méthodes de sécurité renforcée : si vous sélectionnez cette option, les utilisateurs peuvent s'inscrire uniquement avec les méthodes suivantes :

    • Même appareil : les utilisateurs commencent et terminent leur inscription à Okta Verify dans l'application en fournissant l'URL de connexion à l'org.

      Version en accès anticipé

      Pour optimiser le processus d'inscription en réduisant le nombre d'étapes et en renforçant la sécurité, accédez à Admin Console Paramètres et activez Inscription du même appareil pour Okta FastPass.

    • Bootstrap d'appareil à appareil : les utilisateurs peuvent ajouter un compte Okta Verify existant à un autre appareil mobile ou de bureau via le Bluetooth.

  • N'importe quelle méthode : si vous sélectionnez cette option, les utilisateurs peuvent s'inscrire avec l'une des méthodes de sécurité suivantes :

    • Code QR dans le navigateur : les utilisateurs scannent un code QR dans le navigateur pour s'inscrire à Okta Verify sur un appareil mobile.

    • Lien par SMS ou par e-mail : les utilisateurs s'inscrivent à Okta Verify sur des appareils mobiles en cliquant sur un lien par SMS ou par e-mail.

    • Même appareil : les utilisateurs commencent et terminent leur inscription à Okta Verify dans l'application. Cela permet de simplifier le processus d'inscription tout en renforçant la sécurité.

    • Bootstrap d'appareil à appareil : les utilisateurs peuvent ajouter un compte Okta Verify existant à un autre appareil mobile ou de bureau via le Bluetooth.

Options de vérification

Choisissez les méthodes d'authentification que les utilisateurs finaux sont invités à utiliser lorsqu'ils s'authentifient. Quelles que soient les méthodes d'authentification sélectionnées, les utilisateurs sont automatiquement inscrits à toutes ces méthodes. Elles s'affichent sur la page Okta Verify Détails du compte sous Code d'authentification, Notification push et Okta FastPass.

  • TOTP (Mot de passe à usage unique et à durée limitée) (activé par défaut) (Android et iOS uniquement) : les utilisateurs s'authentifient en saisissant un code d'accès à usage unique (OTP) à six chiffres généré par Okta Verify.

    Les utilisateurs peuvent saisir un OTP jusqu'à cinq fois. Ensuite, le bon OTP n'est pas valide pour empêcher les attaques par force brute. Okta renvoie le code de statut HTTP 429, indiquant « trop de requêtes ». Un message apparaît sur l'interface utilisateur et une saisie est inscrite dans le journal système. Les utilisateurs ne sont pas verrouillés de leurs comptes et peuvent demander un autre OTP immédiatement.

  • Notification push (Android et iOS uniquement) : les utilisateurs s'authentifient en appuyant sur une notification envoyée sur leur appareil mobile.

  • Okta FastPass (toutes les plateformes) : activez Okta FastPass. Les utilisateurs s'authentifient en appuyant ou en cliquant sur Utiliser Okta FastPass. Consultez Activer Okta FastPass.

Okta FastPass

Cette section apparaît si vous sélectionnez Okta FastPass (Toutes les plateformes).

  • Afficher le bouton « Connexion avec Okta FastPass » : cochez cette case pour afficher le bouton Connexion avec Okta FastPass sur le Sign-In Widget avant que les utilisateurs ne saisissent leur nom d'utilisateur.

    Activez ce paramètre si vous souhaitez inciter les utilisateurs à s'inscrire sur Okta FastPass. Décochez la case si vous souhaitez déployer progressivement Okta FastPass pour les utilisateurs.

    Cette case n'est pas cochée par défaut.

Exiger un code d'accès à l'appareil ou une vérification de l'utilisateur

Définissez comment les utilisateurs peuvent s'inscrire à Okta Verify ou Okta FastPass.

La vérification d'utilisateur peut varier selon le modèle et le système d'exploitation de l'appareil. Pour comprendre l'impact de votre configuration sur l'expérience utilisateur, consultez Expérience utilisateur selon les paramètres de vérification de l'utilisateur Okta Verify.

  • Privilégiée : les utilisateurs peuvent activer la confirmation par code d'accès ou biométrie pendant l'inscription ou plus tard. Ils peuvent inscrire des appareils ne prenant pas en charge les données biométriques.

  • Obligatoire : Okta Verify invite les nouveaux utilisateurs à configurer un code d'accès d'appareil ou des données biométriques lorsqu'ils s'inscrivent. Si l'appareil ne prend pas en charge la biométrie, les utilisateurs peuvent activer un code d'accès d'appareil à la place.

    Pour les utilisateurs inscrits qui ont ignoré cette étape, Okta Verify invite l'utilisateur à activer un code d'accès d'appareil ou la biométrie la prochaine fois qu'il tente de connexion sur l'appareil inscrit.

    Lors de authentification avec Okta FastPass, les utilisateurs peuvent confirmer leur identité à l'aide de données biométriques ou d'un code d'accès d'appareil.

  • Requis uniquement avec la biométrie : les nouveaux utilisateurs sont invités à configurer la biométrie lorsqu'ils s'inscrivent à Okta Verify. Si l'appareil ne prend pas en charge la biométrie, les utilisateurs ne peuvent pas s'inscrire ou s'authentifier avec Okta Verify.

    Pour les utilisateurs inscrits ayant ignoré cette étape, Okta Verify les invite à activer les données biométriques la prochaine fois qu'ils tenteront de se connecter sur l'appareil inscrit.

Notification push (challenge par nombre)

Indiquez si vous souhaitez inclure un challenge par nombre dans une notification push Okta Verify.

  • Jamais : les utilisateurs ne sont jamais soumis à un challenge par nombre, quel que soit le niveau de risque de la tentative d'authentification.

  • Uniquement pour les tentatives de connexion à haut risque : les utilisateurs reçoivent un challenge nombre uniquement si la tentative de connexion est considérée comme risquée. Configurez vos règles de politique d'authentification. Consultez À propos de la fonction Évaluation des risques d'Okta.

  • Tous les challenges push : les utilisateurs reçoivent un challenge par nombre avec toutes les notifications Okta Verify push, quel que soit le niveau de risque.

Le challenge par nombre vérifie qu'une tentative de connexion à une application protégée par Okta provient de l'utilisateur prévu et non d'une personne non autorisée. Il présente un nombre dans le Sign-In Widget et envoie une notification à Okta Verify sur l'appareil mobile de l'utilisateur. L'utilisateur sélectionne le nombre correspondant à ce qu'il voit dans le Sign-In Widget. Si l'utilisateur saisit le bon nombre, il pourra accéder à l'application protégée.

Le challenge par nombre permet d'éviter les tentatives d'hameçonnage en garantissant que l'utilisateur possède à la fois Okta Verify et l'appareil à l'origine de la tentative de connexion. La correspondance de nombres n'est pas aussi forte que les facteurs MFA résistants à l'hameçonnage comme FIDO2 (WebAuthn) ou Okta FastPass.

Voir Se connecter avec une notification Push Okta Verify (iOS) ou Se connecter avec une notification Push Okta Verify (Android).

Conformité FIPS

Limitez l'inscription à Okta Verify aux appareils Android ou iOS conformes à la norme FIPS.

Lorsque cette option est activée, Okta Verify utilise la validation FIPS 140-2 pour toutes les opérations de sécurité. Okta répond également aux exigences FedRAMP FICAM en s'appuyant sur des fournisseurs validés FIPS.

  • Uniquement les appareils conformes à la norme FIPS : les utilisateurs peuvent uniquement inscrire un appareil conforme à la norme FIPS dans Okta Verify.

  • N'importe quel appareil : les utilisateurs peuvent inscrire n'importe quel appareil dans Okta Verify.

À propos de la fonction Évaluation des risques d'Okta

Vous pouvez combiner un challenge par nombre avec la fonction Évaluation des risques d'Okta afin de renforcer la sécurité des flux de connexion à votre org Okta.

Okta évalue le risque en fonction de plusieurs critères, y compris les détails sur l'appareil et son emplacement.

Lorsqu'elle est activée, la fonction Évaluation des risques attribue un niveau de risque à chaque tentative de connexion Okta. Les administrateurs peuvent configurer une règle de politique d'authentification de sorte à prendre des mesures différentes en fonction du niveau de risque de la tentative d'authentification. Par exemple, demandez à l'utilisateur une authentification multifacteur si la tentative de connexion est considérée comme à haut risque. Consultez Évaluation des risques pour obtenir des instructions.

Limitations connues

  • L'authentification biométrique n'est pas prise en charge par l'Apple Watch.

  • Pour les appareils Android, seules les méthodes biométriques classées par Google comme étant de Classe 3-Fort (reconnaissance faciale et d'empreintes digitales) sont prises en charge.

  • La biométrie n'est pas prise en charge sur Android 12 si Okta Verify est installé sur le profil professionnel. Les utilisateurs reçoivent une erreur Keystore non initialisé et ne peuvent pas activer les données biométriques. Pour débloquer les utilisateurs concernés, mettez Vérification de l'utilisateur sur Privilégiée, puis conseillez aux utilisateurs finaux de passer l'étape d'activation de la biométrie.

  • Les notifications push avec challenge par nombre ne sont pas prises en charge dans les intégrations LDAPi et RADIUS. Dans ce cas, configurez un authenticator MFA autre qu'Okta Verify.

  • L'authentification Okta Verify ne fonctionne pas correctement si le protocole HTTP Strict Transport Security (HSTS) est activé pour le loopback. Les utilisateurs qui développent, hébergent ou déboguent des sites Web en local activent souvent cette option. Si votre organisation n'exige pas le protocole HSTS pour des raisons de sécurité, conseillez à vos utilisateurs de supprimer l'URL Okta de la liste des domaines exigeant le protocole HSTS. Consultez la documentation de votre navigateur pour obtenir des instructions et partagez-les avec vos utilisateurs.

Étapes suivantes

Continuez la procédure dans Inscrire Okta Verify dans une politique d'enrôlement authenticator.

Rubriques liées

Configurer l'authenticator Okta Verify

Créer une politique d'inscription d'authenticator

Configurer des règles pour les politiques d'inscription des authentificateurs

Configurer les contrôles de version Okta Verify