Configurer l'authenticator OTP personnalisé

L'authenticator OTP personnalisé permet aux utilisateurs de s'authentifier avec un code d'accès à usage unique (OTP) qu'ils reçoivent via un jeton de sécurité matériel ou logiciel. Cet authenticator prend uniquement en charge les jetons OTP standard. Vous pouvez créer autant d'instances authenticator OTP personnalisées que nécessaire et les affecter à différents groupes d'utilisateurs pour un contrôle précis et une sécurité accrue.

Cet authenticator est un facteur de possession, répond aux exigences de présence de utilisateur et est lié à l'appareil. Voir authentification multifacteur.

Avant de commencer

Si vous utilisez un algorithme HMAC ou un codage à clé secrète partagée dans votre implémentation OTP, préparez ces informations avant de commencer la procédure.

Ajouter l'authenticator OTP personnalisé

1. Dans la Admin Console, accédez à Sécuritéauthenticators.

2. Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.

3. Cliquez sur Ajouter dans la tuile authenticator.

Options de configuration

1. Configurez les options suivantes :

   Champ	Valeur
   Nom de l'authenticator	Saisissez un nom descriptif pour cet authenticator.
   Longueur du mot de passe à usage unique (OTP)	Saisissez le nombre de chiffres que doit comporter chaque code d'accès à usage unique.
   Algorithme HMAC	Sélectionnez l'algorithme qui correspond à votre implémentation.
   Étape de temps	Saisissez l'intervalle, en secondes, pour les comparaisons de synchronisation. Cette valeur est utilisée avec la valeur Intervalle de dérive de l'horloge pour calculer la fenêtre pendant laquelle Okta accepte les codes secrets.
   Intervalle de dérive de l'horloge	Saisissez la différence entre l'heure actuelle du jeton et l'heure actuelle du serveur, en secondes, qu'Okta tolère pour la saisie de code d'accès. Pour calculer la fenêtre pendant laquelle les utilisateurs sont autorisés à saisir leur code d'accès, multipliez la valeur du Étape de temps par la valeur de l'intervalle de dérive de l'horloge. Par exemple, une valeur Étape de temps de 60 secondes et une valeur Intervalle de dérive de l'horloge de cinq secondes donnent lieu à 300 secondes (60 x 5). En d'autres termes, Okta accepte les codes secrets dans les 300 secondes, ou cinq minutes, avant ou après l'horodatage de saisie du code d'accès.
   Encodagede la clé secrète partagée	Sélectionnez l'algorithme qui correspond à votre implémentation.

2. Cliquez sur Ajouter. Okta génère l'ID d'authenticator, qui est utilisé pour inscrire un utilisateur dans l'authenticator OTP personnalisé à l'aide de l'API Okta Factors.
3. Obtenir l'identifiant de l'authenticator :
   1. Cliquez sur Actions.
   2. Cliquez sur Informations et identifiant de l'authenticator.
   3. Cliquez sur l'icône du presse-papiers pour copier l'identifiant de l'authenticator. Vous saisissez cet identifiant en tant que factorProfileId lorsque vous inscrivez des utilisateurs dans l'API Okta Factors.
   4. Partagez l'ID de authenticator avec vos utilisateurs de manière sécurisée. Ils doivent saisir cet ID dans le Sign-In Widget lorsqu'Okta leur demande de s'inscrire à l'authenticator OTP personnalisé.

Inscription des utilisateurs finaux

Vous ne pouvez inscrire un utilisateur que dans une seule instance authenticator OTP personnalisé à la fois. Assurez-vous qu'aucun utilisateur n'apparaît dans plusieurs instances. Consultez Inscrire un facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé

Ajouter l'authenticator personnalisé OTP à la politique d'inscription des authenticators

1. Dans la Admin Console, accédez à Sécuritéauthenticators.

2. Cliquez sur l'onglet Inscription.
3. Ajoutez l'authenticator à une politique d'inscription authenticator (nouvelle ou existante).

Modifier ou supprimer l'authenticator OTP personnalisé

Vous ne pouvez pas modifier un authenticator OTP . Si vous découvrez des erreurs de configuration dans une instance d'authenticator OTP personnalisée, vous pouvez réinscrire tous les utilisateurs concernés dans une nouvelle instance d'authenticator OTP personnalisée.

Vous ne pouvez supprimer une instance d'authenticator OTP personnalisée qu'après avoir supprimé tous les utilisateurs qui y sont associés. Avant de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.

1. Dans authenticators, accédez à l'onglet Configuration .
2. Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Supprimer.

Expérience de l'utilisateur final

Lorsque les utilisateurs connexion à Okta pour la première fois après l'ajout de l'authenticator OTP personnalisé, le Sign-In Widget les invite à s'inscrire à l'authenticator OTP personnalisé. L'utilisateur doit fournir l'ID de authenticator que son administrateur génère pour lui.

Lorsque les utilisateurs connexion à Okta après s'être inscrits à l'authenticator OTP personnalisé, ils sélectionnent cet authenticator (ou le nom personnalisé de l'instance authenticator ) dans le Sign-In Widget. Un OTP apparaît dans l'app OTP ou le jeton de sécurité de l'utilisateur. L'utilisateur saisit cet OTP dans le Sign-In Widget.

Okta applique une limite de taux sur les tentatives d'authentification infructueuses des authenticators OTP tiers inscrits à Okta.

Les utilisateurs peuvent saisir un OTP jusqu'à cinq fois. Ensuite, le bon OTP n'est pas valide pour empêcher les attaques par force brute. Okta renvoie le code de statut HTTP 429, indiquant « trop de requêtes ». Un message apparaît sur l'interface utilisateur et une saisie est inscrite dans le journal système. Les utilisateurs ne sont pas verrouillés de leurs comptes et peuvent demander un autre OTP immédiatement.

Rubriques liées

Créer une politique d'inscription d'authenticator.

Configurer des règles pour les politiques d'inscription à l'authenticator

Inscrire un facteur TOTP (Mot de passe à usage unique et à durée limitée) personnalisé