Configurer l'authenticator de code d'accès temporaire

L'authenticator de code d'accès temporaire (TAC) vous permet de générer un code d'accès temporaire à partir du profil Universal Directory d'un utilisateur. Cet authenticator aide les utilisateurs à obtenir un accès temporaire à Okta en toute sécurité lors de l'intégration et dans les scénarios d'accès temporaire, par exemple lorsqu'un utilisateur a oublié sa clé de sécurité chez lui.

L' administrateur active cet authenticator puis l'ajoute aux politiques. Lorsqu'un utilisateur a besoin d'un code d'accès temporaire, les administrateurs Okta disposant de privilèges suffisants effectuent les tâches suivantes :

  • Vérifier l'identité de l'utilisateur.
  • Voir le profil de l'utilisateur.
  • Créez le TAC.
  • Transférer le TAC à l' utilisateur via un canal sécurisé hors bande, comme un appel téléphonique.

L' utilisateur saisit le TAC dans le Sign-In Widget lorsqu'il s'authentifie.

Cet authenticator est un facteur de connaissance et répond aux exigences de présence de l'utilisateur. En tant que facteur de connaissance unique, il ne répond pas à l'exigence 2 types de facteurs quels qu'ils soient dans les politiques. Voir authentification multifacteur.

Pour utiliser cet authenticator à l'aide de l'API Okta, consultez Guide d'intégration d'un authenticator avec code accès temporaire.

Avant de commencer

  1. Créez un groupe et nommez-le Utilisateurs TAC.
  2. Dans le groupe Utilisateurs de PAC , ajoutez les utilisateurs qui peuvent recevoir des TA de leur administrateur. Consultez Affecter manuellement des personnes à un groupe ou Affecter en bloc des personnes à un groupe.
  3. Créez un rôle et nommez-le rôle d'administrateur TAC.
  4. Recherchez l'autorisation Gérer le code d'accès temporaire de l'utilisateur et cochez sa case.
  5. Créez un ensemble de ressources et nommez-le Ensemble de ressources TAC. À l'étape Ajouter une ressource, sélectionnez Utilisateurs et choisissez le groupe Utilisateusr TAC que vous avez créé.
  6. Créer une affectation de rôle d'administrateur à partir d'un administrateur Suivez les instructions pour les sections de la page Personnes ou de la page groupes.
    1. Sélectionnez le rôle d'administrateur TAC.
    2. Sélectionner un ensemble de ressources TAC
    3. Cliquez sur Enregistrer les modifications.

Ajouter l'authenticator E-mail

  1. Dans la Admin Console, accédez à Sécuritéauthenticators.

  2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

  3. Cliquez sur Ajouter dans la tuile authenticator.

Options de configuration

  1. Configurez les options suivantes :

    • Expiration minimale : saisissez la durée et sélectionnez une unité de temps.
    • Expiration maximale : saisissez la durée et sélectionnez une unité de temps.
    • Délai d'expiration par défaut : saisissez la durée et sélectionnez une unité de temps.
    • Nombre de caractères : saisissez le nombre de caractères qui apparaissent dans un TAC.
    • Complexité du code: sélectionnez les options que vous souhaitez inclure dans un TAC :
      • Chiffres : inclure des nombres dans les TAC. Il s'agit d'une exigence NIST.
      • Lettres : inclure des lettres dans les TAC.
      • Caractères spéciaux: inclure des caractères spéciaux dans les TAC.
    • Autoriser les codes multi-usage : sélectionnez Autoriser l'administrateur à créer des codes multi-usage pour permettre aux utilisateurs d'utiliser plusieurs fois leurs TAC).

  2. Cliquez sur Ajouter. L'authenticator apparaît dans la liste de l'onglet Configuration.

Modifier le statut de l'authenticator TAC dans la politique d'inscription de authenticator

Lorsque vous ajoutez l'authenticator TAC dans Okta, il est automatiquement ajouté à la politique d'inscription de authenticator avec le statut Facultatif. Ce statut signifie que les groupes d'utilisateurs peuvent voir des TAC générés pour eux. Vous pouvez changer le statut en Désactivé si vous ne voulez pas que les TACS soient disponibles pour un groupe d'utilisateurs. Vous ne pouvez pas définir le statut de cet authenticator sur Obligatoire. Les utilisateurs ne sont pas invités à s'inscrire à cet authenticator même s'il fait partie de la politique d'inscription de authenticator . Si vous désactivez cet authenticator, les utilisateurs ne voient pas les invites pour un TAC sur la page de connexion Okta. L'option de génération d'un TAC apparaît toujours dans le profil Universal Directory (UD) de l'utilisateur, et les administrateurs peuvent toujours générer un TAC pour lui.

  1. Dans la Admin Console, accédez à Sécuritéauthenticators.

  2. Cliquez sur l'onglet Inscription.
  3. Créer une politique ou modifier une politique existante. Consultez Créer une politique d'inscription d'authenticator.

  4. Par défaut, le statut est défini sur Facultatif. Pour la désactiver, définissez le statut sur Désactivé. Si elle était précédemment désactivée, sélectionnez Facultatif pour la réactiver.

Exiger un TAC dans une politique de connexion à l'app

  1. Créez une politique de connexion à l'app. Consultez Créer une politique de connexion à app.
  2. Ajouter une règle de politique de connexion à l'application. Consultez Ajouter une règle de politique de connexion à l'application.
  3. Dans la section L'utilisateur doit s'authentifier avec, choisissez une option.
  4. Dans la section Méthodes d'authentification, sélectionnez Autoriser les méthodes d'authentification spécifiques, puis saisissez Code d'accès temporaire dans le champ.
  5. Dans la section Demander d'authentification par mot de passe, sélectionnez À chaque fois que l'utilisateur se connecte à la ressource.

Intégration de l'authenticator TAC dans une chaîne de méthodes d'authentification

Une chaîne de méthodes d'authentification vous permet de demander aux utilisateurs de vérifier leur identité en utilisant des authenticators dans un ordre que vous configurez. Consultez Séquence d'authentification.

  1. Dans la règle de politique de connexion à l'app, accédez au menu déroulant L'utilisateur doit s'authentifier avec et sélectionnez Séquence d'authentification.
  2. Sélectionnez Code d'accès temporaire comme l'une des méthodes d'authentification . Si vous souhaitez que les utilisateurs s'authentifient avec une autre méthode avant d'être invités à saisir un TAC, sélectionnez l'autre méthode comme première méthode d'authentification . Sélectionnez Code d'accès temporaire comme deuxième méthode.
  3. Sélectionnez À chaque fois que l'utilisateur se connecte à la ressource.
  4. Configurez les autres paramètres selon vos besoins.

Modifier ou supprimer l'authenticator TAC

Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.

  1. Dans authenticators, accédez à l'onglet Configuration .
  2. Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.

Créer un TAC

Un utilisateur ne peut avoir qu'un seul TAC actif à la fois. Lorsque vous créez un mot de passe à usage unique, tous les mots de passe à usage unique existants sont automatiquement révoqués.

  1. Dans la Admin Console, accédez à RépertoirePersonnes.

  2. Trouvez la personne pour laquelle vous souhaitez créer un TAC.
  3. Dans le menu Plus d'actions, sélectionnez Créer un code d'accès temporaire.
  4. Dans la boîte de dialogue, configurez la durée pendant laquelle le TAC est valide. Saisissez une valeur dans le champ longueur entre les valeurs minimale et maximale autorisées. Consultez la section Options de configuration.
  5. Sélectionnez une option à partir du menu déroulant unité de temps.
  6. Sélectionnez Utilisation unique ou Multi-usage. Ces options apparaissent si vous avez activé les TAC multi-utilisateurs lorsque vous avez configuré cet authenticator.
  7. Cliquez sur Créer un code.
  8. Okta affiche le TAC. Assurez-vous de vérifier l'identité de l'utilisateur avant de lui transmettre ce code.

    Le TAC ne réapparaît pas après avoir fermé la boîte de dialogue. Seules les heures de création et d'expiration du TAC sont affichées.

  9. Pour réinitialiser les authenticators de l'utilisateur, cliquez sur Réinitialiser les authenticators. Cette fonctionnalité est utile lorsqu'un utilisateur a perdu son appareil.
  10. Pour révoquer le TAC immédiatement, cliquez sur Faire expirer le code. Pour créer un autre TAC, répétez cette procédure.
  11. Cliquez sur Fermer.

Réinitialiser les authenticators et les codes d'expiration pour les mots de passe à usage unique existants

Vous ne pouvez effectuer cette procédure qu'en présence d'un TACexistant pour un utilisateur. Effectuez les étapes de Create a CAC avant de procéder à cette procédure.

  1. Dans la Admin Console, accédez à RépertoirePersonnes.

  2. Recherchez la personne pour laquelle vous avez créé un TAC.
  3. Dans le menu Plus d'actions, sélectionnez Voir les détails du code d'accès temporaire actif. La boîte de dialogue Code d'accès temporaire s'affiche.
  4. Pour réinitialiser les authenticators de l'utilisateur, cliquez sur Réinitialiser les authenticators. Cette fonctionnalité est utile lorsqu'un utilisateur a perdu son appareil.
  5. Pour révoquer le TAC immédiatement, cliquez sur Faire expirer le code. Pour créer un autre TAC, suivez les étapes de la section Créer un TAC) .
  6. Cliquez sur Fermer.

Expérience de l'utilisateur final

  1. Un utilisateur appelle le support technique pour demander un TAC. Il peut y avoir de nombreuses raisons pour lesquelles ils demanderaient ce code, y compris les situations suivantes :
    • L'utilisateur a oublié sa YubiKey chez lui.
    • L'utilisateur est un nouvel employé et il est en cours d'intégration. Il n'a pas encore inscrit ses authenticators.
    • Il n'a pas pu s'authentifier à l'aide de ses méthodes de sécurité et son compte est verrouillé.
  2. L' agent du support technique vérifie son identité par téléphone ou d'une autre manière que son organisation préfère.
  3. Si l'agent du support technique vérifie l'identité de l'utilisateur avec succès, il crée un TAC et le transmet à l'utilisateur.
  4. L'utilisateur final se rend sur votre page de connexion.
  5. L'utilisateur saisit le TAC lorsque le Sign-In Widget le lui demande. Ils peuvent également être invités à s'authentifier avec d'autres méthodes si leurs politiques de connexion l'exigent.
  6. L' utilisateur accède à Okta ou à son app.

Rubriques liées

Politiques de session globale

Politiques de connexion de l'app

Politiques d'inscription à l'authentificateur