Récupération de compte en libre-service

La récupération de compte en libre-service permet aux utilisateurs finaux actifs de réinitialiser leurs mots de passe Okta ou de déverrouiller leurs comptes sans contacter le support administratif.

Vous pouvez configurer la récupération de compte en libre-service par le biais d'une règle dans votre politique de mot de passe. Si vous souhaitez exiger des authenticators résistants au hameçonnage lorsque les utilisateurs effectuent ces actions, consultez Politique Okta Account Management.

Avant de commencer

  • Activez tous les authenticators que vous souhaitez utiliser pour la récupération de compte .
  • Si vous souhaitez utiliser Okta Verify pour la récupération de compte , activez l'option Notification Push .
  • Activez les authenticators supplémentaires à utiliser dans les scénarios de non-récupération. Ils doivent être différents des authenticators utilisés pour les scénarios de récupération. Vous ne pouvez pas utiliser le même authenticator pour initier la récupération et fournir une vérification supplémentaire.
  • Configurez au moins deux authenticators autres qu'E-mail sur Obligatoire. Okta recommande d'exiger des utilisateurs qu'ils s'inscrivent à plusieurs authenticators afin qu'ils disposent de suffisamment d'authenticators disponibles pour la récupération et l'authentification.

Configurer la récupération de compte en libre-service

  1. Ajouter une règle de politique de mots de passe
  2. Facultatif. Si vous avez activé la fonctionnalité Okta Account Management mais ne souhaitez pas l'utiliser pour les actions en libre-service, définissez la condition Contrôle d'accès sur Hérité.
  3. Configurez ces options en libre-service selon les besoins.

Configurations recommandées

Certaines configurations peuvent empêcher les utilisateurs de s'authentifier pendant la récupération du compte. Le tableau suivant fournit des exemples de configurations à éviter, des explications et des recommandations sur ce qu'il faut faire à la place.

Configuration à éviter

Raison

Préférer cette configuration

Dans la Admin Console, accédez à Sécurité authenticators, sélectionnez Actions et Modifier pour les authenticators e-mail et téléphone pour voir le paramètre Utilisé pour :

  • E-mail est défini sur Récupération.

  • Téléphone est défini sur Authentification et récupération.

  • Aucun autre authenticator n'est activé ni ne doit être inscrit pour l'authentification.

Dans la Admin Console, accédez à Sécuritéauthenticators, et cliquez sur Actions Modifier dans la ligne Mot de passe. Cliquez sur l'icône représentant un crayon pour la règle que vous souhaitez examiner :

  • Les options E-mail and Téléphone (SMS/Appel vocal) sont sélectionnées dans la section Les utilisateurs peuvent lancer la récupération avec.

  • L'option Tout authenticator inscrit et utilisé pour la MFA/SSO est sélectionnée dans la section Vérification supplémentaire.

Lorsque les utilisateurs tentent de récupérer leur compte, ils voient les options E-mail et Téléphone pour initier la récupération. Si l'utilisateur choisit téléphone, il ne pourra pas effectuer la vérification secondaire, car e-mail est configuré pour la récupération et non pour l'authentification.

  • Dans la section authenticators de récupération de la boîte de dialogue Ajouter une règle ou Modifier la règle, activez uniquement l'option e-mail pour être autorisé à lancer la récupération.

  • Pour permettre à l'e-mail et au téléphone de lancer la récupération, et exiger une vérification supplémentaire en utilisant tout authenticator inscrit utilisé pour la MFA/SSO :

    • Activez ces authenticators et définissez-les comme Obligatoire pour l'inscription de authenticator :

      • Okta Verify

      • WebAuthn

      • Google Authenticator

Dans la Admin Console, accédez à Sécuritéauthenticators.

  • E-mail est utilisé pour la Récupération.

  • Okta Verify est utilisé pour l'Authentification et la Récupération.

  • Aucun autre authenticator n'est activé ni ne doit être inscrit pour l'authentification.

Dans la Admin Console, accédez à Sécuritéauthenticators, et cliquez sur Actions Modifier dans la ligne Mot de passe. Cliquez sur l'icône représentant un crayon pour la règle que vous souhaitez examiner :

  • Les options E-mail et Okta Verify sont activées pour la Récupération dans la section Les utilisateurs peuvent lancer la récupération avec.

  • L'option Tout authenticator inscrit et utilisé pour la MFA/SSO est sélectionnée dans la section Vérification supplémentaire.

Lorsque les utilisateurs tentent de récupérer leur compte, ils voient à la fois les options E-mail et Okta Verify pour initier la récupération. Si l'utilisateur sélectionne Okta Verify, il ne pourra pas effectuer la vérification secondaire, car E-mail est configuré pour la Récupération et non pour l'authentification.

  • Dans la section authenticators de récupération de la boîte de dialogue Ajouter une règle ou Modifier la règle, activez uniquement l'option e-mail pour être autorisé à lancer la récupération.

  • Pour permettre de lancer la récupération via l'e-mail et Okta Verify, et exiger une vérification supplémentaire en utilisant tout authenticator inscrit utilisé pour la MFA/SSO :

    • Activez ces authenticators et définissez-les comme Obligatoire pour l'inscription de authenticator :

      • Téléphone

      • WebAuthn

      • Google Authenticator

Dans la Admin Console, accédez à Sécurité authenticators, sélectionnez Actions et Modifier pour les authenticators e-mail et téléphone pour voir le paramètre Utilisé pour :

  • E-mail est défini sur Récupération.

  • Le téléphone est défini sur Authentification et Récupération, mais n'est pas réglé sur Obligatoire pour l'inscription.

  • Okta Verify est défini sur Authentification et Récupération, mais n'est pas réglé sur Obligatoire pour l'inscription.

  • Aucun autre authenticator n'est activé ni ne doit être inscrit pour l'authentification.

Dans la Admin Console, accédez à Sécuritéauthenticators, et cliquez sur Actions Modifier dans la ligne Mot de passe. Cliquez sur l'icône représentant un crayon pour la règle que vous souhaitez examiner :

  • Les options Okta Verify et/ou Téléphone (SMS/Appel vocal) sont sélectionnées dans la section Les utilisateurs peuvent lancer la récupération avec.

Les utilisateurs ne peuvent pas lancer le processus de récupération pour cette configuration, car la politique d'inscription à l'authenticator ne les oblige pas à s'inscrire à Okta Verify ou à utiliser leur téléphone.

Pour utiliser Téléphone, Okta Verify ou les deux pour initier une récupération, assurez-vous que ces authenticators sont définis sur Obligatoire dans le cadre de la politique d'inscription.

Dans la Admin Console, accédez à Sécuritéauthenticators.

  • Le téléphone est utilisé pour la Récupération.

  • Okta Verify est utilisé pour l'Authentification et la Récupération.

  • Aucun autre authenticator n'est activé ni ne doit être inscrit pour l'authentification.

Dans la Admin Console, accédez à Sécuritéauthenticators, et cliquez sur Actions Modifier dans la ligne Mot de passe. Cliquez sur l'icône représentant un crayon pour la règle que vous souhaitez examiner :

  • Les options E-mail et Okta Verify sont activées pour la récupération dans la section Les utilisateurs peuvent lancer la récupération avec.
  • L'option Tout authenticator inscrit et utilisé pour la MFA/SSO est sélectionnée dans la section Vérification supplémentaire.

Lorsque les utilisateurs tentent de récupérer leur compte, ils voient les deux options Téléphone et Okta Verify pour initier la récupération. Si l'utilisateur sélectionne Okta Verify, il ne pourra pas effectuer la vérification secondaire, car téléphone est configuré pour la Récupération et non pour l'authentification.

  • Dans la section authenticators de récupération de la boîte de dialogue Ajouter une règle ou Modifier la règle, n'autorisez que Téléphone à lancer la récupération.

  • Pour permettre de lancer la récupération par téléphone et Okta Verify, et d'exiger une vérification supplémentaire en utilisant tout authenticator inscrit utilisé pour la MFA/ SSO:

    • Activez ces authenticators et définissez-les comme Obligatoire pour l'inscription de authenticator :

      • E-mail

      • WebAuthn

      • Google Authenticator

Dans la Admin Console, accédez à Sécuritéauthenticators, sélectionnez ActionsModifier pour les authenticators E-mail et Téléphonepour afficher le paramètreUtilisé pour :

  • E-mail est défini sur Récupération.
  • Téléphone est défini sur Récupération.
  • Okta Verify est défini sur Authentification et Récupération.
  • Aucun autre authenticator n'est activé ni ne doit être inscrit pour l'authentification.

Dans la Admin Console, accédez à Sécuritéauthenticators, et cliquez sur Actions Modifier dans la ligne Mot de passe. Cliquez sur l'icône représentant un crayon pour la règle que vous souhaitez examiner :

  • Les options Okta Verify, E-mail, and Téléphone (SMS/Appel vocal) sont sélectionnées dans la section Les utilisateurs peuvent lancer la récupération avec
  • L'option Tout authenticator inscrit et utilisé pour la MFA/SSO est sélectionnée dans la section Vérification supplémentaire.

Lorsque les utilisateurs tentent de récupérer leur compte, ils voient les options Okta Verify, E-mail et Téléphone pour initier la récupération. Si l'utilisateur sélectionne Okta Verify, il ne pourra pas effectuer la vérification secondaire, car E-mail et le Téléphone sont configurés pour la Récupération et non pour l'authentification.
  • Dans la section Authenticators de récupération de la boîte de dialogue Ajouter une règle ou Modifier la règle, activez uniquement l'option e-mail et téléphone pour être autorisé à lancer la récupération.

  • Pour autoriser le téléphone, l'e-mail et Okta Verify pour initier la récupération, et exiger une vérification supplémentaire en utilisant tout authenticator inscrit utilisé pour la MFA/ SSO :

    • Activez ces authenticators et définissez-les comme Obligatoire pour l'inscription de l'authenticator :

      • WebAuthn

      • Google Authenticator

  • Vous pouvez désactiver l'e-mail et le téléphone pour la réinitialisation du mot de passe ou le déverrouillage du compte.
  • La question de sécurité peut également être activée comme étape de vérification supplémentaire.
  • Lorsque vous sélectionnez l'option de déverrouillage en pour les comptes utilisateur Okta provenant de LDAP, le compte utilisateur est déverrouillé dans Okta, mais il reste verrouillé dans l'instance LDAP sur site.
  • Configurez au moins deux authenticators autres qu'E-mail sur Obligatoire.
  • N'utilisez pas l'authenticator que vous sélectionnez pour l'authentification quotidienne pour la récupération.
  • Dans les scénarios de réinitialisation de mot de passe en libre-service, lorsque vous sélectionnez Okta Verify avec push comme seul authenticator et que vous avez activé la Protection contre l'énumération des utilisateurs pour la récupération, les utilisateurs reçoivent toujours des vérifications de correspondance de nombres même si vous avez désactivé ce paramètre.

Rubriques liées

Configurer l'authenticator par mot de passe

Configurer l'authenticator Okta Verify

Configurer l'authenticator E-mail

Configurer l'Authenticator de téléphone