Faire de l'e-mail un authenticator facultatif

Version d'accès anticipé. Consultez la section Activer les fonctionnalités en libre-service.

Cette fonctionnalité vous offre un contrôle plus fin des paramètres de l'authentificateur par e-mail, notamment la récupération et le déverrouillage des comptes, directement depuis l'Admin Console. Les utilisateurs finaux peuvent gérer l'enrôlement de l'authentificateur par e-mail depuis leur End-User Dashboard.

Fonctionnement de l'authentification

Selon la façon dont vous avez configuré la politique d'enrôlement de l'authentificateur, l'authentificateur par e-mail est soit automatiquement inscrit, soit disponible en tant qu'option pour les utilisateurs finaux aux fins d'enrôlement. Ce tableau décrit le fonctionnement de l'inscription :

Paramètre d'e-mail

Comportement d'inscription
Obligatoire L'adresse e-mail principale de l'utilisateur est automatiquement enrôlée.
Facultatif Les utilisateurs doivent peut-être enrôler leur adresse e-mail principale s'ils veulent l'utiliser comme authentificateur.
Désactivé Les utilisateurs peuvent être invités à enrôler leur adresse e-mail principale si cela est nécessaire pour la récupération du compte, mais ils ne peuvent pas l'utiliser pour l'authentification.

Fonctionnement de la récupération de compte

Lorsque vous configurez la récupération de compte en libre-service, vous devez spécifier les authenticators que les utilisateurs finaux peuvent utiliser pour réinitialiser leur mot de passe ou déverrouiller leur compte. Les utilisateurs finaux doivent s'inscrire au moins l'un de ces authenticators. Si l'e-mail est le seul authentificateur que vous avez spécifié pour la récupération du compte, les utilisateurs finaux doivent enrôler leur adresse e-mail en tant qu'authentificateur, à moins que vous n'ayez activé la récupération sans enrôlement.

Paramètres d'enrôlement et de récupération

Vous pouvez gérer le comportement d'enrôlement des e-mails et de récupération pour l'utilisateur final à l'aide des paramètres suivants :

  • Enrôlement automatique à l'aide de l'e-mail de profil de compte si possible : ce paramètre détermine si Okta enrôle automatiquement l'e-mail d'un utilisateur final en tant qu'authentificateur.
  • Envoyer un e-mail de récupération aux adresses e-mail principale et secondaire de l'utilisateur même si l'authentificateur par e-mail n'a pas été enrôlé : ce paramètre permet d'envoyer des e-mails de récupération à l'e-mail d'un utilisateur final, même si son e-mail n'est pas inscrit en tant qu'authentificateur.

Examinez les scénarios suivants pour vous assurer que votre configuration n'empêche pas l'accès des utilisateurs et ne bloque pas les chemins de récupération.

Verrouillage possible

Si les conditions suivantes sont remplies, les utilisateurs finaux ne peuvent pas récupérer leur mot de passe et doivent contacter un administrateur pour obtenir de l'aide :

  • L'e-mail est configuré comme le seul facteur de récupération.
  • Les utilisateurs ne sont pas enrôlés automatiquement par e-mail.
  • Les utilisateurs ne sont pas autorisés à effectuer une récupération sans enrôlement.

Comportement de sélection d'enrôlement automatique

  • Décochez la case Enrôlement automatique pour vous assurer que l'authentificateur par e-mail n'est pas automatiquement enrôlé.
  • Cocher cette case ne garantit pas un enrôlement automatique. L'enrôlement se fait uniquement si l'e-mail est requis pour la récupération, si l'utilisateur effectue une vérification de l'e-mail ou si un administrateur met à jour le profil utilisateur.

Politique Okta Account Management

Si votre org utilise la politique Okta Account Management et que l'option Enrôlement automatique est décochée, l'option de récupération par e-mail est disponible uniquement si les utilisateurs enrôlent manuellement l'authentificateur par e-mail.

Désactiver l'enrôlement automatique de l'e-mail

  1. Accédez à SécuritéAuthenticators.
  2. Dans l'onglet Enrôlement, choisissez une politique à mettre à jour et cliquez sur ActionsModifier. Par exemple, la Politique par défaut.
  3. Sous Authenticators, dans la section E-mail, sélectionnez Désactivé ou Facultatif pour Enrôlement.
  4. Décochez la case Enrôlement automatique à l'aide de l'e-mail du profil si possible.
  5. Faites défiler vers le bas et cliquez sur Mettre à jour la politique.

Activer la récupération sans enrôlement

Vous pouvez configurer un paramètre qui permet aux utilisateurs finaux de recevoir des e-mails de réinitialisation de mot de passe et de déverrouillage de compte sur leur e-mail de profil principal, même si les utilisateurs n'ont pas enrôlé leur e-mail comme authentificateur.

Pour configurer l'e-mail de récupération pour les e-mails non enrôlés :

  1. Accédez à SécuritéAuthenticators.
  2. Dans l'onglet Configuration, repérez l'authentificateur Mot de passe et cliquez sur ActionsModifier.
  3. Sélectionnez Politique par défaut et choisissez une règle à mettre à jour. Par exemple, la Règle par défaut.
  4. Sous Authentificateurs de récupération, dans la section Contrôle d'accès, sélectionnez Cette règle (héritée).
  5. Pour ET Les utilisateurs peuvent lancer la récupération avec l'option, cochez la case E-mail et cochez la case Envoyer un e-mail de récupération aux adresses e-mail principale et secondaire de l'utilisateur même si l'authentificateur par e-mail n'a pas été enrôlé. Lorsque cette case est cochée, les utilisateurs finaux peuvent recevoir un lien de récupération.
  6. Faites défiler vers le bas et cliquez sur Mettre à jour la règle.

Ignorer l'enrôlement automatique par e-mail pour les nouveaux utilisateurs

Vous pouvez choisir d'enrôler l'authentificateur par e-mail pour un utilisateur final lors de leur création dans Okta.

  • Si vous souhaitez enregistrer automatiquement l'e-mail de l'utilisateur en tant authenticator : activez l'utilisateur à l'aide du lien d'activation (optionsActiver maintenant ou Activer plus tard).
  • Si vous ne voulez pas inscrire l'e-mail de l'utilisateur en tant authenticator : définissez son mot de passe à l'aide de l'option Je vais définir un mot de passe.

Réinitialiser l'authentificateur par e-mail pour les utilisateurs

Si l'option Enrôlement est définie sur Facultatif ou Requis dans la section E-mail et si l'authentificateur par e-mail de l'utilisateur est enrôlé, vous pouvez réinitialiser l'authentificateur par e-mail d'un utilisateur dans DirectoryPersonnes.

Cliquez sur l'utilisateur et accédez à sa page de profil. Sur la page, accédez à Plus d'ActionsRéinitialiser les authenticators.

Expérience de l'utilisateur final

Les utilisateurs finaux peuvent gérer l'enrôlement de leur authentificateur par e-mail via le Okta End-User Dashboard. L'authenticator inscrit est mis à jour automatiquement lorsqu'il réussit à modifier son adresse e-mail principale. Les utilisateurs finaux peuvent également enrôler un autre authentificateur au lieu de l'e-mail pour la récupération du compte.

L'expérience de l'utilisateur final varie en fonction de la façon dont vous avez configuré le paramètre Enrôlement automatique à l'aide de l'e-mail du compte de profil si possible :

  • Si l'option Enrôlement automatique n'est pas cochée : les utilisateurs voient leur e-mail comme un authentificateur facultatif et ils peuvent choisir de l'enrôler lors de la connexion, plutôt que de l'enrôler automatiquement.
  • Si l'option Enrôlement automatique est cochée : les utilisateurs peuvent être enrôlés automatiquement dans certains cas.

Inscrire ou supprimer l'authentificateur par e-mail

Les utilisateurs finaux peuvent enrôler ou supprimer leur authentificateur par e-mail dans Mes paramètresMéthodes de sécurité.

Cependant, si l'utilisateur supprime l'authentificateur par e-mail lorsque la récupération de compte en libre-service ou la politique d'inscription en a besoin, il peut être invité à se réinscrire lors de sa prochaine connexion ou il peut être inscrit automatiquement.

Si l'utilisateur a inscrit son adresse e-mail en tant authenticator et a modifié son adresse e-mail principale avec succès, la nouvelle adresse e-mail remplace automatiquement l'ancienne adresse e-mail en tant authenticator.