Configurer l'authenticator par carte intelligente
L' authenticator Carte intelligente permet aux utilisateurs de s'authentifier en utilisant leur Carte intelligente. Le type de facteur et les caractéristiques de la méthode de cet authenticator dépendent des options que vous sélectionnez pour Caractéristiques de sécurité lors de la configuration du Carte intelligente Fournisseur d'identité de la IdP.
Sélectionnez parmi les options Protégé par un code PIN et Protégé de façon matérielle basé sur la configuration des cartes intelligentes que votre org utilise. Cela détermine le comportement de l'authenticator Carte intelligente :
| Option sélectionnée | Type de facteur | Caractéristiques de la méthode |
|---|---|---|
| Aucune option sélectionnée | Possession | Lié à l'appareil Résistant à l'hameçonnage Présence de l'utilisateur |
| Protégé de façon matérielle seulement | Possession | Lié à l'appareil Protégé de façon matérielle Résistant à l'hameçonnage Présence de l'utilisateur |
| Uniquement Protégé par un code PIN | Possession + Connaissances | Lié à l'appareil Résistant à l'hameçonnage Présence de l'utilisateur Vérification de l'utilisateur |
| Protégé par un code PIN et Protégé de façon matérielle | Possession + Connaissances | Lié à l'appareil Protégé de façon matérielle Résistant à l'hameçonnage Présence de l'utilisateur Vérification de l'utilisateur |
Avant de commencer
Ajouter un IdP par carte intelligente.
Ajouter l'authenticator Carte intelligente
-
Dans l'Admin Console, accédez à .
-
Dans l'onglet Configuration, cliquez sur Ajouter un authenticator.
- Cliquez sur Ajouter dans la tuile Carte intelligente Authentificateur.
- Dans le menu déroulant Fournisseur d'identité (IdP) de carte intelligente, sélectionnez tous les fournisseurs d'identité que vous souhaitez associer à cet authenticator.
-
Cliquez sur Ajouter. L'authenticator apparaît dans la liste de l'onglet Configuration.
Ajouter Carte intelligente à la politique d'inscription de l'authenticator
Dans authenticators, accédez à l'onglet Inscription pour ajouter l'authenticator à une politique d'inscription authenticator (nouvelle ou existante). Consultez Créer une politique d'enrôlement à l'authentification.
Modifier ou supprimer l'authenticator Carte intelligente
Avant de modifier ou de supprimer l'authenticator, vous devrez peut-être mettre à jour les politiques existantes qui utilisent cet authenticator.
- Dans authenticators, accédez à l'onglet Configuration .
- Ouvrez le menu déroulant Actions à côté de l'authenticator, puis sélectionnez Modifier ou Supprimer.
Autoriser plusieurs identités sur une Carte intelligente
Les utilisateurs peuvent utiliser une Carte intelligente pour s'identifier sous différentes identités et s'authentifier dans les comptes correspondants. Lorsque l'utilisateur clique sur le bouton Se connecter avec PIV/CAC, Okta l'invite à choisir son certificat. Une fois qu'Okta a vérifié le certificat sélectionné, une liste des comptes utilisateurs disponibles s'affiche. L'utilisateur sélectionne ensuite l'identité à laquelle il souhaite connexion et le flux authentification se poursuit.
Bien que vous puissiez complètement personnaliser l'invite initiale Sign-In Widget, certaines interfaces utilisateur suivantes, telles que l'écran de sélection de l'utilisateur pour le fournisseur d'identité (IdP) Carte intelligente, ne sont pas encore personnalisables.
Pour que cette fonctionnalité fonctionne, vous devez mapper les cartes intelligentes aux comptes utilisateur qui utilisent les mêmes attributs.
- Accédez à .
- Dans Carte intelligente IdP, accédez à la section Correspondance d'utilisateur. Confirmez que les valeurs utilisées pour Nom d'utilisateur IdP et Comparer à sont les mêmes pour tous les utilisateurs.
- Cochez la case pour Autoriser plusieurs identités correspondant aux critères. Cela permet de faire correspondre une Carte intelligente à plusieurs utilisateurs Okta qui correspondent à vos critères. L'authentification échoue si la case n'est pas cochée et que plusieurs utilisateurs correspondants sont trouvés.
Expérience de l'utilisateur final
Les utilisateurs peuvent inscrire leur Carte intelligente en tant qu'authenticator de plusieurs façons :
- Au cours du processus de connexion, ils cliquent sur le bouton Connexion avec PIV/CAC et suivent les instructions pour inscrire la Carte intelligente.
- Au cours de l'authentification progressive, ils s'identifient dans le Sign-In Widget et sont invités à inscrire une Carte intelligente.
- Ils inscrivent la Carte intelligente par le biais du Paramètres.
Inscrire plusieurs cartes intelligentes
Les utilisateurs peuvent avoir plusieurs cartes intelligentes actives à la fois. Ils peuvent inscrire différentes cartes à puce pour différents fournisseurs d'identité associés avec l'authenticator Carte intelligente . S'ils perdent leur Carte intelligente, ils doivent la supprimer de leur compte et en inscrire une nouvelle.
Utiliser la Carte intelligente pour la vérification
Vous pouvez exiger une Carte intelligente lorsque l'utilisateur se connecte ou accède à une app protégée. Ils doivent effectuer la vérification par Carte intelligente dans le délai que vous avez configuré. Dans le cas contraire, l'opération est interrompue et ils doivent s'authentifier à nouveau.
Se connecter avec Carte intelligente ou Okta FastPass
Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.
Actuellement, si vous avez configuré les deux options Se connecter avec Okta FastPass et Carte intelligente en tant qu'authentificateur, les utilisateurs ne voient que l'option Carte intelligente lorsqu'ils se connectent. En activant cette fonctionnalité, vous pouvez rendre les deux options disponibles pour les utilisateurs pendant le processus de connexion.
Rubriques connexes