Personnaliser le domaine d'ID de la partie de confiance Clés d'accès (FIDO2 WebAuthn)

Un ID de partie de confiance (RP) représente le domaine avec lequel les clés d'accès et les clés de sécurité peuvent s'authentifier. Okta vous permet de personnaliser le domaine ID RP. Vous pouvez spécifier votre domaine org Okta, votre domaine personnalisé ou le suffixe pouvant être enregistré d'un domaine personnalisé. Les utilisateurs peuvent alors s'authentifier à l'aide de leurs clés d'accès ou de sécurité dans le domaine et dans l'ensemble de ses sous-domaines. Ainsi, vous obtiendrez une authentification résistante au hameçonnage dans tous vos domaines. Elle permet également d'éviter la nécessité de délivrer plusieurs clés d'accès ou clés de sécurité à chaque utilisateur pour chaque domaine auquel il a accès.

Consultez Configurer un domaine personnalisé et Personnaliser le domaine et l'adresse e-mail.

Remarque :

Lorsque vous activez un identifiant RP nouveau ou modifié, Okta invalide tous les authentificateurs de Clés d'accès (FIDO2 WebAuthn) existants (données biométriques, clés d'accès et clés de sécurité) qui ne sont pas associés au domaine de l'ID RP personnalisé. Les utilisateurs ne peuvent pas les utiliser pour s'authentifier.

Action recommandée : utilisez l'API Okta pour réinitialiser les enrôlements de clés d'accès pour l'authentificateur (FIDO2 WebAuthn) pour vos utilisateurs. Okta invite ensuite les utilisateurs à réenrôler leurs clés d'accès pour les authentificateurs (FIDO2 WebAuthn) après avoir réinitialisé leurs enrôlements. Consultez Désinscrire un facteur.
Action facultative : conseillez aux utilisateurs de désenrôler manuellement les clés d'accès pour les authentificateurs (FIDO2 WebAuthn) existants sur la page Paramètres dans le tableau de bord de l'utilisateur final, puis de les réenrôler. Consulter Paramètres utilisateur. Si les utilisateurs ne désenrôlent pas leurs clés d'accès pour les authentificateurs (FIDO2 WebAuthn), ils sont invités à s'authentifier avec des authentificateurs non valides lors de leur prochaine connexion. Il est possible que l'accès à leur org soit impossible. Cette option n'est pas disponible dans les orgs qui n'autorisent pas les utilisateurs à accéder aux Paramètres du tableau de bord de l'utilisateur final.

Créez un ID de partie de confiance

Dans l'Admin Console, accédez à Sécurité > Authentificateurs.
Dans l'onglet Configuration, cliquez sur Actions dans la ligne Clés d'accès (FIDO2 WebAuthn).
Cliquez sur Modifier.
Dans le champ ID de la partie de confiance, saisissez votre domaine org Okta, un domaine personnalisé ou un suffixe pouvant être enregistré du domaine personnalisé.
Cliquez sur Vérifier le domaine. Si le domaine est valide, Okta affiche VERIFIED sous le nom de domaine. Si vous avez saisi un suffixe pouvant être enregistré pour votre domaine personnalisé, Okta affiche les informations de l'enregistrement TXT. Ajoutez ces informations à l'enregistrement TXT lors de l'enregistrement de votre domaine par l'intermédiaire de votre bureau d'enregistrement de domaine.
Remarque :
Certains bureaux d'enregistrement de domaine peuvent prendre du temps pour traiter et propager les changements d'enregistrement de votre domaine. Si le processus prend plus de temps que prévu, contactez votre bureau d'enregistrement de domaine pour obtenir de l'aide.
Une fois l'enregistrement TXT mis à jour lors de l'enregistrement de votre domaine, cliquez sur Vérifier l'enregistrement TXT pour vérifier la propriété du domaine.
Cliquez sur Enregistrer.
Pour activer l'ID RP, accédez à Activer et désactiver un ID tiers.

Activer et désactiver un ID de partie de confiance

Dans l'Admin Console, accédez à Sécurité > Authentificateurs.
Dans l'onglet Configuration, cliquez sur Actions dans la ligne Clés d'accès (FIDO2 WebAuthn).
Cliquez sur Modifier.
Activez ou désactivez le paramètre Personnaliser la partie de confiance.
Cliquez sur Enregistrer.
Cliquez sur Enregistrer les modifications dans l'invite de confirmation .

Supprimer le domaine

La suppression d'un domaine supprime le domaine et désactive la fonctionnalité. Vous ne pouvez pas modifier un Identifiant RP après l'avoir enregistré. Pour le modifier, supprimez le domaine actuel, puis créez un nouvel ID RP. Si vous modifiez l'ID RP, les enrôlements de clés d'accès (FIDO2 WebAuthn) existantes ne fonctionneront pas.

Dans l'Admin Console, accédez à Sécurité > Authentificateurs.
Dans l'onglet Configuration, cliquez sur Actions dans la ligne Clés d'accès (FIDO2 WebAuthn).
Cliquez sur Modifier.
Cliquez Supprimer le domaine. Le domaine est immédiatement supprimé.
Cliquez sur Enregistrer.
Cliquez sur Enregistrer les modifications dans l'invite de confirmation.