Créer des politiques d'authentification à l'app résistantes au hameçonnage

Cette rubrique décrit comment créer des politiques de connexion à l'app résistantes au hameçonnage en utilisant l'authenticator FIDO2 (WebAuthn).

Avant de commencer

Désactiver la protection contre l'énumération des utilisateurs
1. Dans l'Admin Console, accédez à SécuritéGénéralProtection contre l'énumération des utilisateurs et cliquez sur Modifier.
2. Désactivez les cases à cocher Authentification et Récupération.
3. Cliquez sur Enregistrer.
Configurer l'authenticator FIDO2 (WebAuthn) Définir Vérification de l'utilisateur sur Privilégiée.
Facultatif. Ajoutez un autre authenticator résistant au hameçonnage, comme Okta FastPass. Cela garantit que les utilisateurs peuvent accès à leur compte Okta s'ils perdent leur YubiKey.

Dans l'Admin Console, accédez à RépertoireGroupes.
Cliquez sur Ajouter un groupe.
Créez des groupes pour les nouveaux utilisateurs et les utilisateurs existants, et nommez-les en conséquence. Par exemple, Nouveaux employés et Employés existants.
Cliquez sur Enregistrer.

Affectez les politiques résistantes au hameçonnage que vous créez à ces groupes.

Créer une politique de session globale. Affectez-y les nouveaux groupes utilisateurs et les groupes d'utilisateurs existants.
Ajouter une règle de politique de session globale. Définissez les conditions suivantes :
- Établir la session de l'utilisateur avec : SélectionnezTout facteur utilisé pour répondre aux exigences de la politique d'authentification.
- authentification multifacteur (MFA) : Sélectionnez Obligatoire.
- Les utilisateurs seront invités à utiliser la MFA : Sélectionnez À chaque connexion d'un utilisateur.
Déplacez cette politique en haut de la liste des priorités.

Pour les utilisateurs existants, définissez la politique d'inscription de l'authenticator applicable sur FIDO2 (WebAuthn): Obligatoire ou Facultatif.

Pour les nouveaux utilisateurs, procédez selon les étapes suivantes :

Créer une politique d'insrciption d'authenticator. Affectez-la aux nouveaux groupes utilisateurs et aux groupes existants.
Définissez les conditions suivantes pour les authenticators:
- FIDO2 (WebAuthn): Sélectionnez Obligatoire.
- Authenticators autorisés : Sélectionnez N'importe quel Authenticator WebAuthn.
- Okta Verify : Sélectionnez Obligatoire ou Facultatif.
- Définissez si les autres authenticators sont Obligatoire, Facultatifou Désactivé.
Configurer des règles pour les politiques d'inscription des authenticators. Définissez les conditions suivantes :
- L'utilisateur accède à : sélectionnez Okta, Applicationset Toute app qui prend en charge l'inscription MFA.
- L'inscription est : sélectionnez Autorisé pour tous les authentificateurs.
Déplacez cette politique en haut de la liste des priorités.

Dans l'Admin Console, accédez à SécuritéPolitiques d'authentification.
Cliquez sur Connexion à l'application.
Cliquez sur Okta Dashboardou cliquez sur Ajouter une politique si elle n'est pas là, et créez-la. Consultez Créer une politique de connexion à app.
Ajouter une règle de politique de connexion à l'application. Définissez les conditions suivantes :
- L'utilisateur appartient à : sélectionnez Au moins l'un des groupes suivants, puis saisissez les noms des groupes utilisateur nouveaux et existants.
- L'utilisateur doit s'authentifier avec : Sélectionnez 2 types de facteurs, quels qu'ils soient.
- Les contraintes de facteur de possession sont : Choisir les options suivantes : Résistant à l'hameçonnage, Exiger une interaction de l'utilisateur, Exiger une vérification biométrique de l'utilisateur.
Cliquez sur Enregistrer.
Déplacez cette règle en haut de la liste des priorités.
Dans l'onglet Applications, cliquez sur Ajouter l'application.
Cliquez sur Ajouter à côté de l' app Okta Dashboard.
Cliquez sur Terminé dans la boîte de dialogue Ajouter des applications à cette politique.
Recherchez d'autres applications que vous souhaitez affecter à ces utilisateurs et ajoutez-les à la politique.
Cliquez sur Fermer.